8月26日,2021年北京网络安全大会在京正式召开,期间在TI INSIDE威胁情报生态发布会上,盛邦安全技术总监聂晓磊发表了题为《威胁情报助力网络资产安全治理》的主题演讲,以下为聂晓磊的演讲实录。
盛邦安全技术总监聂晓磊:各位观众大家好,我是来自盛邦安全的聂晓磊,很高兴能够参加此次发布活动,借此机会也向大家分享下盛邦安全在情报运用上的一些落地实践。盛邦安全是一家专注于网络资产安全治理的厂商,资产本质上来讲也是一类庞大的情报信息。
通常而言,我们可以将资产范畴定义成实体资产和虚拟资产两个大的类型,实体资产就包含了各种网络设备、安全设备、终端设备以及现在大家经常提的物联网资产;而虚拟资产当中,除了我们熟悉的IP、端口服务、拓扑定位等网络资产之外,还有一大部分则是与这些资产相关的数据信息,比如管理信息、供应链信息等等。我们把所有资产采集回来,再从暴露面的角度、脆弱性的角度或者是供应链安全的角度等维度,把关联关系提取出来,形成关键资产,这个过程就相当于情报的采集、加工和生产,之后我们可以利用这些关键资源来做很多事情,比如暴露面的测绘、重要系统全生命周期的安全跟踪等等。
那么典型的资产治理模型是什么样的呢?这里拿我们常说的五步法来举个例子:我们围绕资产的发现和安全管理,把整个过程分为五个大的步骤,包括摸清家底、备案审核、立体化防护、自动化运营以及应急响应。强调的是未知资产的发现、已知资产的画像,资产的上线前安全检查、运行中的安全监控、协同防护以及应急响应时的精确处置等。
通过这样一套体系,可以对网络资产进行全面画像,从而绘制网络空间的资产底图,进而获得详细的资产情报,以某个资产为例,可以拿到它的IP地址、开放服务、所用组件、底层系统、地理位置、所属行业和脆弱性等各种信息,这样就可以帮助用户解答一些头疼的问题,比如说在网络中到底有多少在运的资产?都有哪些类型?有哪些风险?或者某个行业监管部门,可以评估辖区单位的暴露面分布情况、风险情况或者国产化率等等。
威胁情报可以与资产治理碰撞出什么样的火花呢?今天我们落地的较多的威胁情报主要有两大类,一类是黑IP信息、一类是黑URL信息,所以首先威胁情报可以提升入侵的检测能力和外联的发现能力,但同时资产的画像信息也可以补充到传统情报数据当中,所以二者之间是一个结合与互动的关系。这里我们仍然按五步法的阶段来概括,通过与TI INSIDE的联动,我们可以富化资产的信息、强化风险的发现、深化对失陷情况的检测,最终能够强化对威胁的应急处置。
接下来可以看几个具体的实践。首先是网络资产治理平台与威胁情报的联动,这里列举的是治理平台的威胁检测模块,包含有两个功能点:左侧列举的是入侵威胁识别功能,通过与情报联动,我们可以直接用IP地址来与情报碰撞,判断来源IP是否在情报库中,并且判断它是一个扫描IP还是某个Webshell的客户端,从而发现有风险的访问行为,这点可以有效弥补传统的基于规则或算法的威胁检测方式的不足,加强未知风险的发现能力;
右侧列举的是非法外联检测功能,通过将外联URL与情报碰撞,可以判断外联目标是否是恶意URL,从而判断本地资产是否已经失陷,同时如果资产中招了,还能根据情报来判断属于哪个恶意代码家族,从而可以做进一步的研判处置。所以说,威胁情报可以提升网络资产的治理能力。
另外我们资产还可以扩充情报的画像能力,这里列举的是网络空间资产探测与威胁情报的联动,这个过程覆盖了从单点失陷的发现到整体风险的研判和反馈。当某个资产的外联URL命中情报时,情报中心可以调用资产探测的能力对目标做进一步的检测,判断其风险的扩散范围。
以永恒之蓝为例,如果通过探测发现目标具备永恒之蓝发生的典型条件,比如操作系统是windows、同时开放了139、445等端口,或者直接启用了RDP、SMB等服务,那么这张网络可能整个都中招了,这个信息反馈给情报中心,情报中心就可以将风险第一时间同步给所有网络节点来进行应急处置,最简单的比如同步到所有边界网关,那么就可以快速生成一些针对横向扩散的访问限制策略。这是资产探测对情报的一个反馈能力。
最后,我们列举两个实际案例来介绍。这是一个典型的资产失陷的发现过程,我们首先在威胁情报模块收到了外联的告警,在情报中心验证后确认是真实存在的问题,接下来再开启治理平台的后门检测功能来检索资产相关的安全事件,结果发现它还存在webshell的问题,并且已经存在建立的控制连接,根据连接也找到了相关的问题IP做了举证。
第二个例子是发现了一个外联的告警,但是在情报中心只看到了疑似风险的标签,没有找到其他的安全告警,在不好判断的情况下我们再利用空间探测对资产做画像,发现该资产开放了http服务,并且存在可利用的PoC,之后再根据这些信息在资产本地做痕迹调查,确认已经失陷。
其实情报与资产互动后的能力远不止是这些,这些年不管是安全保障还是在攻防演习当中,我们一方面通过安全情报来扩大风险发现范围,另一方面也利用资产情报来寻求一些对攻击者的溯源和反制机会,相信未来将会找到更多的应用场景。最后祝愿联盟能吸引更多的优秀伙伴加入,一起为广大的用户赋能,谢谢大家。
基于威胁情报检测能力,“TI INSIDE”生态联盟成员单位取得了多项技术成果,在活动现场还为“TI INSIDE”生态联盟成员举行了授牌仪式。
热门跟贴