一、文献综述
(一)国内外研究现状
随着互联网的快速发展,移动办公正在逐渐改变政府、企业等机构的办公方式。与此同时,越来越多的资产成为了数据的主要来源者、使用者和传递者,给政企机构带来了诸多便利。但同时也面临着无法及时发现并定位资产安全隐患等问题,使政企机构承担着巨大的风险。根据国家互联网应急中心(CNCERT)近三年的报告显示,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量从10822个上升至14201个,年平均增长率为 15.0%,其中路由器、防火墙等资产漏洞数量占比也持续走高,年平均增长率为13.41%。在360发布的《2019年上半年勒索病毒疫情分析报告》中提到,政企机构仍位列易受到勒索病毒攻击的行业前十,同时利用漏洞发起攻击依旧是最常见的安全问题之一。同年国务院国有资产监督管理委员会发布了新版《中央企业负责人经营业绩考核办法》,网络安全成为考核指标。通过扫描资产,及时发现并修复漏洞,可减小资产安全隐患,有效降低政企机构面临的风险。
资产安全评估系统主要包括资产识别和漏洞分析两个方面。传统的资产识别技术主要依赖于人工定期手动采集并录入资产信息,再借助一些软件加以辅助。常用的软件有美国IBM公司的MAXIMO系统,加拿大的Senergy系统等。这种识别技术对于小型政企机构而言,是一种经济、便捷且有效的方法,但需要耗费大量的时间和人力资源,且差错率高,资产数据不可用的现象也时有发生。随着政企机构业务的快速发展,资产变更也成为常态,传统的资产识别技术不具备标准化与流程化,很难实现资产信息及时、准确地变更。为了弥补上述技术的不足,一些新型资产识别技术得以迅速发展。根据数据来源不同可大致分为主动、被动和基于搜索引擎三大类。上述技术都在一定程度上解决了传统识别技术费时费力,时效性不高的问题,也为当今的基于漏洞扫描的识别技术奠定的基础。
漏洞分析即分析资产中存在威胁其安全性的漏洞,需对资产进行漏洞扫描,并对扫描出的漏洞进行评估。现有的漏洞扫描技术主要分为静态漏洞扫描技术和动态漏洞扫描技术。静态漏洞扫描技术即我们常说的白盒测试,可通过对源码等进行分析来得出资产中可能形成漏洞的位置。动态扫描技术通常指的是黑盒测试,常见有通过FUZZ或者payload注入的方式,并根据目标返回的结果判定是否存在漏洞。上述两种方法在现有的漏洞扫描工具中都被广泛应用。通过漏洞评估后可对资产中的漏洞进行优先级排序,相关人员可先进行优先级高的漏洞的修复工作,在一定程度上可降低资产被攻击的风险。
资产安全评估系统主要是针对资产识别效率低、资产漏洞无法及时定位评估并修复等问题提出的,该技术作为资产预防攻击的重要举措,一经提出就受到了研究者的广泛关注,一系列产品也相应推出。目前,ZoomEye BE、FOFA、D01等都是典型的资产安全评估系统。
ZoomEye BE,基于ZoomEye网络空间侦测引擎研发,使用主动识别资产方式取代传统的人工统计,可高效建立资产列表。用户使用时可对现有资产进行漏洞扫描,同时可以及时收到1DAY漏洞情报。
FOFA,支持主动扫描、流量监控、搜索引擎等多种资产识别技术,可对内网资产进行扫描,针对漏洞特征对资产进行检索与排查。同时也支持全网应用分布统计、流行度统计等操作。
D01,通过主动扫描、流量监控等多种资产采集方式,自动获取资产信息。系统预置常见、热门漏洞POC,根据资产特征判断漏洞影响,提升漏洞扫描效率,降低因为漏洞扫描引起的业务风险。
