“关键信息基础设施是国家网络安全保护的重中之重。”作为国家标准,《信息安全技术 关键信息基础设施安全保护要求》(后文简称《关基保护要求》)是指导关基保护工作的实施指南。
随着云、大数据以及网络空间测绘等技术的成熟与深度应用,资产安全问题被高度关注。《关基保护要求》中“资产安全”被频繁提及,标准中将“资产识别”中的“分析识别”部分解释为:“是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。”
实现资产识别完整串联,助力关基保护完善落地
在攻防对抗中经常提及“知彼知己百战不殆”,”知己”是对自身的深入了解,只有准确清晰的认知,才能更好地发挥长处,避免暴露短板。关基设施是黑客攻击的主要目标,当关基单位对于网络上的资产无法进行清晰的识别时,会导致暴露面扩大、威胁监测滞后等问题出现,便给了攻击者可乘之机。
不单是出于对关基资产的保护,看清资产对支撑关基业务稳定运行同样起到重要作用。科来认为资产是串联安全运营的核心,以“业务”和“数据”为保护对象,通过对资产的识别、画像及监测的完整串联,实现绘制多变量资产全景画像,达到保障业务连续和数据完整安全的目的,让关基设施更安全、更可靠、更高效。
某能源单位真实案例
背景描述:
某能源单位在执行日常安全任务时对资产进行梳理,通过科来设备进行资产识别,筛选出一批小流量业务资产,为进行暴露面收缩做准备。过程中通过对比资产画像及其行为习惯后发现了一个流量极小的业务资产存在异常,并结合流量进行关联分析最终发现威胁事件。
分析过程:
首先从资产会话热力图中对各资产流量大小分布情况进行快速确认,可确定小流量资产范围,联系管理人员确认后开始分析,以进行暴露面收缩。从趋势图中的左下角发现了这个流量以及会话非常小的资产XXX.XXX.XX.17。
该资产并不活跃,根据资产自查梳理结果中的“资产表”查看资产具体信息,该资产只开放了一个80端口,且流量极小,周一至周日均不足1MB。
通过对比该资产的资产画像及其行为习惯后发现存在访问异常,结合科来网络全流量安全分析系统,分析该资产在统计时间段内的流量情况,发现有境外IP对该资产进行访问。
分析后发现,荷兰的一个IP XXX.XX.XX.25 于某日晚间成功访问该资产的80端口,请求的页面较为可疑,类似命令执行。在收到服务端的确认后客户端便关闭了连接。
将时间范围扩大,发现有同网段的境外IP XXX.XX.XX.219于某日下午同样访问了该资产。对数据包进行分析后发现,该境外IP向资产的80端口传输了一段加密数据。
根据威胁情报查询该境外IP后发现其为恶意IP地址并对其进行流量分析,发现其对同一网段内多个资产的80、443端口进行了扫描。选择分析了其中流量数据较大的资产 XXX.XX.XX.253 。
发现双方成功建立了TCP连接并传输了加密数据。联系该设备管理人员进一步对终端进行排查,并将发现异常的相关资产纳入长期观察目标,从资产的流量、行为、内容等方面进行针对性的长期监测。
分析结论
通过科来资产被动流量识别方式对关基单位资产进行全面梳理,通过资产画像发现资产异常行为,即使流量极小的业务资产也不会遗漏并实现数据留存。经过对产生流量数据的一系列分析,确认为境外恶意行为,后对该资产进行应急排查,并将该资产纳入长期观察目标。
价值体现
科来资产被动流量识别解决企业资产、关基资产发现难、感知难的问题。这种方式能够发现任何有网络活动的资产,不存在由于反探测技术或安全防护导致识别被阻断的问题。解决了主动扫描探测时静默资产不在线导致无法发现的难点。另外,旁路部署被动采集无需对目标网络进行扫描,可以避免对业务造成影响。
同时,科来将对资产的识别、画像、监测三个环节串联结合,通过对关基资产的识别解析、习惯记录、多维监测,发现资产隐藏风险,监测异常行为,确保了该关基单位关键业务、系统和服务的安全,避免了业务中断、数据泄露的风险。
– End –