官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
1. 综述
企业暴露面收敛管理是需要通过"平台+人+流程"服务的方式,帮助企业发现、识别、监测在互联网上具备公网地址的资产,这些资产提供诸如WEB、FTP、EMAIL、数据库等互联网服务,包括:
基础信息:如IP地址、端口、服务名称和版本、操作系统类型和版本、应用框架类型和版本,
业务信息:业务系统归属、责任人、手机号、邮箱等信息。
风险信息:主机漏洞、WEB漏洞、基线检查、病毒、行为基线、弱口令等信息。
通过监控资产的变化情况,并提供直观的报表呈现,能够帮助企业有序、高效地管理互联网资产,为企业的正常发展和稳定运行提供有效的安全保障。
1.1 必要性分析
自身风险
随着企业数字资产的数量和种类迅速增加,互联网暴露面也随之扩大,这增加了资产管理的挑战以及资产安全隐患的风险。及时发现风险并采取措施对暴露的资产进行管控,可以有效地消除潜在隐患。
(1)不知道是否有资产已经被控制成为攻击源
(2)不知道托管了未备案网站或恶意网站
(3)不知道自己有多少资产暴露在公网和分布情况如何
(4)不知道内部人员私搭公网可访问服务器带来安全隐患
(5)不知道管理员私自开放不允许开放的高风险端口,造成安全隐患
合规要求
《网络安全法》、《个人信息保护法》、《数据安全法》以及《**行业管理办法》等推动各行业对信息基础设施的网络安全风险防控的重视程度空前。
HW行动、净网行动、禁止挖矿行为等国家活动,都是以实战方式检验企业安全成效,互联网暴露面作为“进不来”的首要环节,越少的暴露面大多数情况下也代表被攻破的可能性越低。
1.2 参考规范
《中华人民共和国网络安全法》
ISO/IEC 13335-1: 2004 信息技术-安全技术-信息技术安全管理指南
GB/T 20984-2007信息安全技术信息安全风险评估规范
GB/T 19715.1-2005 信息技术-信息技术安全管理指南
GB/T 19716-2005 信息技术-信息安全管理实用规则
1.3 保密协议
互联网暴露面资产核查服务的保密范围,包括实施过程的保密性和输出成果的保密性。对服务过程中获知的任何客户系统信息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害客户的行为;对服务的报告提交不得扩散给未经授权的第三方单位或个人。
2. 建设架构
互联网暴露面的收敛最简单的要数技术层面,难的是在管理层面如何构建一套管理制度,并且让全部的人都遵守并且执行,形成“常态化”、“实战化”的暴露面收敛。
确立管理手段,再辅以技术手段可实现事半功倍的效果,技术手段上主要选择速度快【资产扫描速度】、准确的高【特征库准确】,采取多种探测手段来进行发现,实战过程中会发现应用的默认端口是会进行修改的来规避扫描、会采用防火墙来封禁某些IP、会采取修改系统版本来规避系统版本漏洞等。
2.1 技术手段
采取工具+人工的方式对移动端、服务端的互联网暴露面进行监控,结合外部威胁情报,对发现的资产进行风险风险,结合管理制度要求,实现互联网暴露面资产和风险的闭环处置。
2.2 管理手段
结合企业实际工作环境,对标国际及行业安全管理标准以及最佳安全管理实践,采取PDCA循环,编写独属于企业的互联网暴露面管理规范,编写内容包括监控周期、监控范围、监控流程以及考核指标等,编写文件包含多层级,指导文件、实操文件以及记录文件,实现每个层级人员都可找到对应的工作职责。
3. 实施步骤
准备阶段:确认互联网暴露面资产核查服务的范围,主要是哪些IP、责任人、业务系统等;结合实际业务情况需求,确定资产风险和资产信息扫描实施的时间,设备接入点,设备IP地址。
实施阶段:互联网暴露面资产监测和识别,业界主要采用NMAP/商业扫描工具/OpenVAS等进行目标范围内的资产探测扫描。对扫描结果进行分析,进行分析汇总。
重复阶段:对实施阶段发现的问题下发给对应业务系统责任人进行整改,并进行重复发现,确认是否整改完成。
4. 实施内容
4.1 资产收集
采取调研表、访谈等方式对涉及的业务系统部门进行核查,协助完成业务系统涉及的资产的梳理。
4.2 风险发现
利用工具及平台对目标范围内的资产进行全面的信息探测扫描,监测并识别资产信息包括:IP地址存活情况、端口服务开放情况、操作系统类型及版本、应用框架类型及版本、IP地址与域名对应关系等
4.3 未知资产纳管
采取资产指纹、人工核对等对新发现的资产进行对比,实现影子资产的纳管;
实现已管理和未管理资产数据的快速稽核比对,提供清晰明确的稽核比对结果报告,及时发现未纳管的资产,并协助快速完成资产的纳管工作;对于未知资产的纳管可以采取EDR等安全软件来帮忙资产的纳管,最终实现全量资产的纳管。
4.4 处置流程
风险管理流程(图)
资产管理流程(图)
5. 附录:平台建设要求
5.1 易用性设计
平台应采用以下措施确保系统的方便易用:
- 安装部署易用性
系统采用易于一站式安装向导,无需手工填写配置文件,最大程度上简化了安装配置的复杂度。同时系统具备丰富的中文提示信息,提示安装部署过程状态。
- 专业化UI设计
由专业UI设计人员进行系统门户界面及功能界面的设计。遵循业内的UI设计规范,采用风格一致的中文用户界面。并设置导航栏等内容。系统能在浏览器中完成基本管理任务,对用户输入错误应尽早发现和提醒。系统具备完善的联机帮助,每一步操作均可找到详细的说明。对于业务熟练并且熟悉电脑操作的普通用户,通过现场培训,即可熟练掌握应用系统基本功能的操作。
- 系统操作易用性
系统采用向导式配置界面。只需要在向导中填写相关的属性和参数要求,就可以顺利完成诸如关联分析规则配置、安全基线检查配置等复杂的策略配置功能。
5.2 可维护性设计
平台具备良好的可维护特性,方便运维人员的日常维护和使用。
- 系统自监控管理
平台提供自管理和监控功能,实时监控平台各个组件的运行状态、性能等情况。维护人员可以了解平台总体状况。
- 系统自维护性
平台具备在线升级协议及版本的功能,在不中断业务的情况下支持对本系统进行在线升级、对修改后的系统版本进行在线升级;平台运行过程中所发生的任何错误均具备错误编号,可在维护手册中查到错误处理方法与步骤。
- 系统易维护性
平台软件从设计初就考虑到易维护性,对某一个模块的修改,不影响其他模块的正常运行。并采用构件化设计思想,系统框架与业务逻辑分离,具备开放的体系结构。
5.3 可扩展性设计
平台支持HA的高可用性架构,采用B/S架构,在网络可达的情况下可以直接管理网元设备。
5.4 可测试性设计
平台在提交软件时均进行过详细的功能及性能测试,并提供可度量的功能和性能指标。内部有专业的测试工程师进行平台测试工作。每次新功能测试完成后,提供详细的测试文档,包括测试的用例、方法及其结果等,交付联通在线人员作验收测试。
5.5 高可靠性设计
- 应用软件可靠性
平台的前端管理模块、分析服务采用主备方式(也可通过集群设备做负载分担),从而保证展示模块与核心模块不存在单点故障,提高系统可靠性。
平台采用先进的J2EE框架,系统框架层次清晰,从而保证了代码的可靠性。另外使用Hibernate框架实现数据持久化的操作,简化系统与数据库的操作,并提供了系统数据操作的可靠性。
平台由专业的测试团队进行严格测试,层层把关,确保系统质量。测试团队对系统的单元测试、集成测试、性能测试等提供了如JUnit、LoadRunner、QuickTest、SoapUI等专业测试框架以及测试工具等的支持,有效了保障了平台的可靠性和对需求的符合度。
- 存储的可靠性
平台中所有服务器本地磁盘均使用RAID1技术,实现本次磁盘1:1镜像。存储阵列还可提供双控制器、RAID0+1镜像、HOTSPARE磁盘等技术实现了控制器冗余热备及磁盘的1:1镜像热备和故障磁盘在线热备盘自动替换,使整个系统的存储达到了很高的可靠性。
- 网络可靠性
整个系统中有较多的计算机设备和网络设备,网卡、网线、网线接头等故障是导致系统不稳定、出现故障的主要原因之一。为了杜绝系统单点故障,最大限度地将网络故障减至最小,大幅度降低系统故障率,整个系统采用双网双平面组网结构,任何一台服务器的单块网卡、网线或单台网络交换机、防火墙、路由器故障网络都将自动切换,保证网络通信正常。
5.6 高可用性设计
Web/应用服务器HA设计
平台使用心跳模块监测主备服务器间的网络是否可用,以及使用服务/状态模块监测网络安全运营管理系统的服务组件状态(包括Web/应用/分析服务)和系统状态(系统CPU利用率、内存利用率、磁盘利用率)是否异常。当监测到主服务器网络异常或服务组件/系统状态异常,系统自动切换到备份服务器,启动备份服务器上的各服务组件(Web/应用服务),并使用同样的IP地址(eth0:0虚拟IP。主备切换时,IP地址资源也会进行切换)对外提供服务器。
5.7 可移植性设计
平台采用了高可移植性技术,避免系统在多种平台下部署运行时的重复开发工作,保证系统的一致性,确保系统可以在多种平台下稳定可靠的运行。
5.8 可追踪性设计
平台在软件研发中遵循CMMI软件开发过程模型。系统每一个功能实现都可以在设计与需求文件中跟踪到相应的设计与需求内容;需求文件中的每一个需求都可以能跟踪到该需求所涉及的设计元素及最终的功能实现。同时,应用系统出现异常错误报告时,系统提供了详细的异常上下文信息。
5.9 系统安全性设计
平台的自身安全性设计包含以下方面的内容:
数据传输安全。系统所有组件之间通讯采用加密方式确保安全的通信。
安全域划分,并实施严格的安全策略。
采集安全设计。通过安全协议采集安全信息。
权限及数据管理安全。
主机安全加固。保证系统服务器自身安全。
恶意代码防护。编码安全防止恶意攻击。
灾难恢复与业务持续性。
5.10 系统存储备份设计
平台的数据采用专门的存储阵列进行存储,也可通过云资源的方式进行热备存储,包括原始数据、统计数据、审计分析数据、认证数据等。数据采用RAID1方式存储。
信通院安全资产管理平台的数据备份提供对系统关键数据的全备份,业务数据的备份与恢复。系统升级、修改等非常规操作文件的备份。
6. 附录:高危端口信息
| 1 | 高危端口号(默认) | 5984(TCP)、6984(TCP) |
| 协议或服务 | CouchDB(数据库) | |
| 端口用途说明 | CouchDB 默认会在 5984 端口(HTTP)和 6984 端口(HTTPS)开放 Restful 的API 接口,用于数据库的管理功能 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 未授权导致的任意指令执行 | |
| 2 | 高危端口号(默认) | 6379(TCP) |
| 协议或服务 | Redis(数据库) | |
| 端口用途说明 | Redis 默认管理和服务端口 | |
| 端口类别 | 管理类端口 | |
| 风险描述 | 可能会存在未授权访问,或者进行弱口令爆破;获得访问权限后,可能存在任意文件写 入导致获取系统远程控制权限。 | |
| 3 | 高危端口号(默认) | 111(TCP/UDP)、2049(TCP/UDP) |
| 协议或服务 | NFS(Network File System),网络文件系统 | |
| 端口用途说明 | 用于远程文件传输 | |
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 权限配置不当 | |
| 4 | 高危端口号(默认) | 512(TCP)、513(TCP)、514(TCP) |
| 协议或服务 | Linux rexec/rlogin/rsh(远程登录和命令执行) | |
| 端口用途说明 | 主要用于再指定的远程linux 系统主机执行命令,向远程服务器发出执行命令的请求 | |
| 端口类别 | 管理类端口、业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 可爆破,rlogin 登陆 | |
| 5 | 高危端口号(默认) | 27017(TCP)、27018(TCP)、27019(TCP) |
| 协议或服务 | MongoDB(数据库) | |
| 端口用途说明 | 用于MongoDB 数据库的远程管理和服务,以及集群间通信 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 爆破,未授权访问 | |
| 6 | 高危端口号(默认) | 1433(TCP)、1434(UDP) |
| 协议或服务 | SQLServer(数据库) | |
| 端口用途说明 | SQL Server 是Microsoft 公司推出的关系型数据库管理系统。1433(默认)端口用于数据库远程管理和连接,1434(默认)用于命名服务 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 提权,弱口令,爆破;早期版本还存在远程命令执行漏洞 | |
| 7 | 高危端口号(默认) | 4242(TCP) |
| 协议或服务 | OpenTSDB(分布式时序数据库) |
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者