樊 华 中国电信股份有限公司景德镇分公司 江西省景德镇市 333000
刘坚桥 中国电信股份有限公司江西分公司 南昌市 330000
随着内外部形势的复杂化,国家对网络安全的重视程度越来越高,自《中华人民共和国网络安全法》颁布以来,上级监管单位对网络漏洞的考核力度也逐年增加,做好对公网端口的管控以及新增漏洞的及时响应是压降网络漏洞的有力方法。
在行业内,端口管控系统和漏洞情报系统是企业网络安全建设体系的基本手段之一。端口管控系统能有效梳理企业公网资产的边界,降低企业资产对外的暴露面,充分降低被外部黑客入侵的风险。威胁情报提供对网络中的资产进行梳理功能,对资产风险信息进行检索,发现风险漏洞,能够对网络中的网络设备、安全设备、应用系统的日志信息进行实时收集,并能够结合IP属性信息以及系统漏洞情报,及时发现网络中存在的安全风险,绘制网络安全底图。
因此,构建一套具备端口发现、处置、封堵能力以及外部漏洞情报获取、响应系统可以弥补现阶段相关手段的空白,具有非常重要的意义。
针对以上问题,我们制定互联网暴露面感知与管控平台的项目目标如下:
(1)暴露面感知:开发暴露面感知系统,每天对全量自营IP地址进行全端口扫描,提供扫描结果预警功能;
(2)暴露面处置:开发一套WEB管理系统,方便安全员能够对本单位暴露面数据进行处置,包括端口复核、认领、封堵、加白等;
(3)暴露面可视化:实现数据可视化呈现,对每日新增、每日关闭、各单位数据、暴露面变化趋势、高危端口警示等;
(4)暴露面台账管理:开发一个暴露面台账管理模块,满足每月暴露面数据上报要求;
(5)漏洞情报中心:获取每日最新的漏洞情报,根据情报筛选出受影响的资产,并发出预警。
端口扫描的定义是客户端向一定范围的服务器端口发送对应请求,以此确认可使用的端口。虽然其本身并不是恶意的网络活动,但也是网络攻击者探测目标主机服务,以利用该服务的已知漏洞的重要手段。公共互联网端口监控系统和威胁情报获取是整个安全体系中非常重要的一环,它就像眼睛一样,时刻监控外网端口开放情况,并且在发现高危端口时能够及时提醒安全、运维人员做出相应处理。
随着对网络安全要求日趋精细化,对“权限最小化”、网络安全漏洞要求的考核日趋严格,做好公网暴露面资产的端口管控,影响企事业单位IT资产的漏洞情报获取等工作越来越重要。而当前依赖于人工完成这两项工作,效率低,及时性差。因此,通过研发出一款自动化的、可闭环的网络安全端口以及漏洞预警处置系统对网络安全具有十分重要的意义。
网络安全端口以及漏洞预警处置系统项目关键技术:系统包含端口扫描、端口封堵、威胁情报搜集、资产筛查与漏洞预警、控制中台等模块以下将对以上五个模块的功能设计依次进行说明。
利用主流的扫描技术对全量公网地址开展全端口扫描,支持TCP和UDP端口扫描两种扫描模式,在保证端口扫描准确性的前提下,以并发模式提高扫描效率,完成全端口扫描时间控制在5个小时以内。
具备对高危端口进行一键封堵的处置能力。基于集团一体化平台,对主机端口进行封堵处置。目前主要支持基于Linux 平台下Netfilter/iptables(简称为iptables)组成的包过滤防火墙以及Windows操作系统系统防火墙的端口封堵功能。
具备对安全威胁情报(Security Threat Intelligence)的搜集能力。基于主流的爬虫框架Scrapy对目前公开的安全威胁情报进行漏洞信息搜集,将搜集的结果进行关键字段提取,并将结果写入Mysql数据库。
针对搜集的漏洞信息对自有资产开展漏洞筛查。利用集团一体化本地平台采集到的信息,进行关键字、软件版本匹配,筛选出受特定漏洞影响的资产。漏洞预警利用服保系统将漏洞预警工单派发至特定的维护人员工位上。
具备WEB 界面形式的控制中台。基于Python+flask+jQuery构建一套WEB数据控制中台,补充端口认领、端口复核、端口封堵与解封等功能的可视化操作界面。基于echarts库实现对端口开放态势、漏洞情报态势的可视化呈现功能。如图1所示。
图1 项目技术概览
(1)资产导入:SOC平台每日发送最新资产给本系统,通过编写脚本获取最新SOC 资产,100%覆盖自营IP地址;
(2)暴露面扫描:采用python-nmap 库,对TCP 端口和UDP 端口同时扫描,结合并发调度,完成全量IP地址全端口扫描仅需3-4小时;
(3) 新增暴露面预警:对扫描结果进行入库、处理,筛选出新增端口,并通过邮件发送给相应安全员,提醒对新增暴露面进行处置。目前正在与综告对接,后续将采用综告派单预警。
为了方便安全员对端口进行管控,我们开发出了一系列功能:
(1)高级搜索功能:支持多维度搜索,帮助安全员快速定位相关资产;
(2)端口复核:支持对端口进行再次扫描,确认端口状态;
(3)端口认领:对扫描发现的端口进行认领,认领的端口将添加到暴露面台账中。
(4)端口加白:将一些特殊原因导致被扫描到的端口加入白名单;
(5)端口封堵与解封:紧急情况下对某些端口进行封堵、解封;
(6)高危端口警示:自建高危端口与协议库,对高危端口进行标红显示;
(7)未认领端口警示:对开放的未认领端口进行标识警示。
对暴露面变化数据进行全方位展示,相关数据一目了然:
(1)今日新增、关闭、近30日开放与关闭端口数量;
(2)端口开放地图分布;
(3)各单位/部门开放端口数量;
(4)各单位/部门端口开放与存活IP数量变化趋势图;
(5)高危端口数量;
(6)当日新增端口详单。
为满足网络安全管控工作要求,研发暴露面台账模块:按照台账模板建立数据库,融合多维度数据,自动填写相关字段,台账导出即可满足要求;
(1)支持端口认领与自主上报两个数据来源,充分保证台账数据的完备性;
(2)自该模块上线以来,安全员已无须再维护E xcel台账,极大减轻工作量,同时也提高了台账的准确性。
(1)每日对开源的漏洞情报网站数据进行爬取,目前覆盖CVE(Common Vulnerabilities&Exposures,通用漏洞披露)和CNNVD(中国国家信息安全漏洞库);
(2)将爬取的结果进行处理,解析关键的参数,如漏洞名称、漏洞编号、漏洞级别以及漏洞详情。
(1)遵照SDL(安全开发生命周期)开发原则完成本平台的开发;
(2)增加登录图形验证码,避免暴力破解;
(3)用户默认口令、修改口令均有强口令要求;
(4)用户密码加盐哈希存储;
(5)分权分域管理,不同组织架构下的用户只能看到与权限匹配的数据;
(6)结合网络安全渗透测试,避免应用层逻辑漏洞。
网络安全端口以及漏洞预警处置系统项目较市面上同类产品有以下优势:
(1)定制化程度更高。充分复用现有技术手段,打通各系统的壁垒,将各模块功能充分与现有管控模式相融合;
(2)功能更完备。本项目实现的端口认领、端口复核、端口封堵与解封的能力均依照最新文件要求开发,功能上更贴合生产要求。
面向网络脆弱性管理,结合外部漏洞情报信息,针对资产安全视角,以风险优先级为核心,整合多源脆弱性数据,聚焦关键风险,量化风险指标,本平台实现了漏洞全生命周期的管理的解决方案。帮助建立快速响应机制,及时有效完成漏洞修补工作。平台对网络资产进行全面搜集、绘制画像和监控,及时发现网络安全威胁,减少互联网暴露面,有效收敛可被利用的攻击路径,避免敏感信息泄露和重要资产损失,保障了信息系统安全和稳定运行,维护社会公共利益。