不久前,国家安全部公众号发文提醒:随着我国互联网事业的飞速发展,网络设备规模呈几何式增长,网络技术及应用的加速演进促使网络设备迭代升级明显加快,闲置和弃用的网络设备大量增加。近年来,国家安全机关工作发现,境外间谍情报机关频繁针对我闲置和弃用的网络设备发起网络攻击,致使部分网络设备成为失泄密的“后门”,严重威胁我网络安全和数据安全。
国家安全部列举了三类利用闲置或弃用设备发起攻击的典型案例
弃用服务器遭重启
工作发现,某单位服务器弃用后仍搭载于信息化机房内,给了境外间谍情报机关可乘之机。境外间谍情报机关通过网络扫探予以控制,进而实施内网渗透,将弃用服务器作为跳板大肆实施网络攻击活动。
——闲置摄像头变忙碌
工作发现,国内某摄像头监管平台曾遭受境外网络攻击,经分析,其管控平台服务器内存有辖区内大量用户摄像头的用户名和密码,建成后一直处于闲置状态,长期通电运行,却无人管理,存在长期未维护、系统版本过低、数据库漏洞等高危风险。境外间谍情报机关如通过远程设备控制该平台,便可操控相关摄像头进行观测,伺机窃密。——未用端口被盗用
工作发现,某生产企业委托第三方为其开发的系统存在异常流量传输。经查验,该公司为便于系统维护,私自向外映射了多个端口,长期未关闭。境外间谍情报机关通过扫探映射端口,利用远程桌面方式登录该公司某系统服务器,实施了端口扫描、爆破等网络攻击活动。
闲置设备风险激增,资产安全运营亟待升级
针对这些挑战,国家安全机关提示,当今我国网络设备迭代升级速度明显加快的同时,闲置设备的管理风险也大大增加,需要我们保持高度警惕。
其中在技术措施方面,按照反间谍技术防范的要求和标准,采取排查清理闲置设备、关闭闲置端口、及时修补漏洞、优化访问策略等技术措施,加强对要害部门部位、网络设施、信息系统的反间谍技术防范。
奇安信安全专家认为,闲置设备造成的安全风险,核心原因是很多政企机构的资产安全运营存在缺位和短板。资产安全、安全配置、漏洞管理与补丁管理,可以算是“历史悠久”的信息安全产品系列,也是安全工作的基础,但却是各大机构的安全体系的最短板,由此引发的安全事件更是频繁发生。
究其原因,核心是因为当前资产安全运营面临着多个痛点。
在事前阶段,表现多源异构资产数据人工梳理难度大,准确率低,难盘点;同时影子资产等违规资产难以及时发现。在事中阶段,发生安全事件时,难以快速定位问题资产;在资产排查时,由于资产信息不全,难以在风险分析时提供有效数据。在事后阶段,由于资产管理信息缺失,难以推动风险处置和闭环;运营效果难以评估和度量,运营方式不知如何改进。为了破解这些难题,攻击面管理技术成为近年来的行业热点。Gartner机构在《2021安全运营技术成熟度曲线》中,提出了攻击面管理(ASM)理念,ASM可以从内部管理和外部攻击者的角度解决资产和漏洞可视化的难题,通过持续运营的方式,帮助安全团队掌握网络安全姿态、收敛资产攻击面、防护网络攻击路径。基于这些理念,奇安信推出了网络资产攻击面管理系统(CAASM)。该产品以多源资产数据融合分析为核心竞争力,具备资产盘点、隐患识别、违规监测、响应处置能力。CAASM通过API与安全系统、网络设备、IT基础设施对接,对资产、风险、策略、业务、网络、组织、人员等数据进行融合和关联,构建时空动态的资产地图。通过数据碰撞,持续监测资产安全姿态,精准识别高危资产和违规资产。资产安全管理脱离不开信息化管理, 而信息化管理的成熟度决定了资产安全运营效果的上限。本图是2020年奇安信对外发布的资产安全运行构想图,描绘的是资产安全运行真实的场景。其中,在最下层信息化管理层,代表着组织内部IT运维管理相关的角色、流程和系统。中间层是安全运营层,通过CAASM多源数据融合能力,将不同数据源中的有效信息相互补全和利用,消解数据冲突,更新资产信息,构建资产之间的关系,形成全局视角时空动态的资产地图。通过数据碰撞分析,识别资产安全风险,触发资产安全运营工作任务,协同安全运营人员和IT运维人员处置解决,持续收敛风险敞口。最上层代表着奇安信安全知识运营能力,通过接入上层安全专家团队持续运营的漏洞情报,一方面可以通过漏洞情报评估资产影响范围,为运营人员制定处置方案提供数据支撑;另一方面,依据情报不同运营阶段输出的切片信息,以数据驱动漏洞、配置、补丁相关的工作任务,通过成果输出收敛资产攻击面,促进资产安全管理闭环。针对国家安全部门提醒的弃用服务器遭重启、闲置摄像头变忙碌、未用端口被盗用这三大挑战,奇安信CAASM可通过以下手段分别给予应对和解决。CAASM可以对接用户的IT资产上线备案和设备退网信息,然后和其他扫描或流量方式获取的资产数据对比,找到应该下线但是没有下线的资产。
存在长期未维护、系统版本过低、数据库漏洞等高危风险,CAASM可通过漏洞情报、漏洞扫描和人工导入的方式融合多源漏洞信息,自动与资产关联,结合资产业务重要性、网络区域类型、漏洞危害等级、网络暴露情况等上下文信息,智能分析漏洞处置优先级,精准识别高风险漏洞,解决海量漏洞无从下手的问题。
CAASM可以从多源获取资产开发端口信息,并可以管理端口映射的关联关系,识别出暴露到互联网的高危端口,识别潜在安全风险,便于运营人员快速采取措施。
总体来看,CAASM可以通过对采集整理后的全量资产安全数据进行持续的碰撞与分析工作,发现资产安全事项,随即触发安全运营流程,持续驱动安全与运维人员消除问题与风险,输出相应运营成果。运营工作流程结束后,新发生的数据变更将为新一轮的数据碰撞分析提供输入、循环往复。CAASM以“数据+运行”双核驱动的模式,达到收敛组织网络资产攻击面、有效防护网络攻击路径的目标。不久前,IDC发布了《IDC Technology Assessment:中国攻击面管理厂商技术评估,2024》报告,奇安信依托网络资产攻击面管理(CAASM)等优势,。而在在2024年全球网络安全行业的盛会——RSAC大会期间,奇安信网络资产攻击面管理系统(CAASM)荣膺国际领先的信息安全媒体CDM(《网络防御杂志》)颁发先锋产品系列奖项。
还没有评论,来说两句吧...