网络空间测绘:构建新时代网络作战地图

前言

伴随着互联网领域的飞速发展,有种说法将互联网称之为人类的“第五空间”(前四空间为:陆地、海洋、天空、外太空)。世界各个国家相继针对网络安全颁布了专门的法令和政策,网络安全问题早已成为全球范围的重点研究课题,近年来党和国家也高度重视网络信息安全建设,相继出台多条法律法规。
那么,如何高效管理网络空间、发现和识别网络空间基础设施、合理分配资源并进行安全检测防护,俨然是当下网络空间安全治理工作的重中之重。因此“网络空间测绘”技术应运而生。
该项技术如同一张网络空间信息的“作战地图”,采用网络探测、采集、分析、处理等方式,将网络空间基础设施以及网络资源的相关属性,用逻辑关系图和地理信息图的形式进行绘制和展现,直观形象的反映网络空间资源属性状态和发展趋势。

一、为什么我们需要网络空间测绘

近年来,网络安全事件多有发生,因互联网应用遭受攻击而导致的经济损失巨大并有逐年增加的趋势,基础网络设备、域名系统等我国基础网络和关键基础设施都面临着巨大的安全风险隐患,传统的安全防御体系根本无法抵御当前的网络攻击,整个行业已经不得不从被动防护向主动防御模式转变。
网络空间安全经常谈到“知己、知彼、知威胁”,连自己的真实情况都不能实时、准确的掌握,又谈何攻防。因此,如何将网络空间、地理空间和社会空间进行相互映射,将虚拟、动态的网络空间测绘成一份动态、实时、可靠、有效的网络空间地图,为决策者提供有价值的战略情报信息,降低决策的不确定性,必然成为网络安全领域中的一项重要的先行工作。
可以说,网络空间测绘技术可以一举解决我们以前对于自身的网络资产经常处于底数不清楚、运转不了解、威胁不洞察的“三不”状态,也可以说,要想实现一个精准、实时、智能的网络空间安全态势感知体系,首先要做的就是了解网络,也就不能没有网络空间测绘技术。

二、网络空间测绘技术原理

网络空间测绘技术,是通过SaaS服务的方式解决互联网端资产探测问题。
image.png
图1 SaaS应用架构
该项技术主通过多维度资产挖掘、资产搜索从而形成一套完整的网络空间数据资源库:

1.资产挖掘

通过已知IP、域名、资产关键字(一般是企业全称或网站名称)结合地域范围,进行网络资产挖掘,找到全互联网暴露面的资产。
通过资产情报数据(例如DNS解析,搜索引擎记录),获取与收集到的IP相关联的域名,并进一步通过域名扩展关联子域名,最后通过域名发现更多有关联性的IP地址,完成IP、域名关系的信息收集迭代过程。

2.资产搜索

该技术能够通过已知的检索条件,对特定的资产信息进行搜索。输入任意字符,会自动匹配以下多个或一个资产属性:单一IP、IP段、地区(省、市、县)、域名、单位名称、端口号、某类型的软件、OS等信息。

3.资产详细信息

●IP主体

  1. 资产概述:IP地址、地理位置、运营商、归属单位、端口/网络层协议/应用层协议、操作系统名称类型版本、GIS地图定位;
  2. 具体端口属性:端口号/网络层协议/应用层协议、数据更新时间、软件类型版本、设备类型、请求头解析数据;

  3. 该用户同C段的其他IP。具体包括:IP地址、最近更新数据时间、端口/网络层协议/应用层协议、操作系统名称类型版本。默认展示10个,更多的需要下载。

    ●域名主体

    1) 资产概述:网站域名、根域、网站备案编号、备案单位、网站标题GIS地图定位
    2) 具体端口属性:端口号/网络层协议/应用层协议、数据更新时间、软件类型版本、请求头解析数据、网页源码。

    4.网络空间测绘系统资源库

    ●漏洞规则库

    脆弱性识别:脆弱性搜索引擎,显示探测的所有资产,通过脆弱性风险名称搜索存在该风险的资产,对搜索结果统计分析。
    向导式创建威胁预警、漏洞检测、弱口令检测三种脆弱性检测任务,选择组织机构、探针、任务策略和资产探测范围,即可开始任务。
    系统中有两种插件,分别是:威胁预警插件、漏洞检测插件。

  4. 威胁预警插件:包含漏洞名称、等级、漏洞详细描述、CPE语法,是数据格式。

  5. 漏洞检测插件:Python文件,包含漏洞名称、等级、漏洞详细描述。

    ●引擎指纹库

    指纹是识别某个端口上运行业务、操作系统的一段特征代码,如端口的Banner,Web页的Header;指纹识别是将某个端口上运行业务、操作系统的一段特征代码翻译成中文和英文标示的过程。指纹由系统规则升级包升级。
    资产标签是开发团队对特征明显、标示明确的指纹进行归类的结果。如把MySQL、Oracle标记为数据库,因此当资产上运行了MySQL、Oracle,系统会自动在资产标签上,标示出数据库,方便检索。资产标签可以看作是系统自动聚合资产的结果。
    资产分类,是系统允许用户根据自己的需求对资产进行自由分类的操作。用户可以按照服务器、网络设备、安全设备等方式进行分类,也可以按照办公资产、网络资产、业务资产等方式进行分类。

    三、网络空间测绘技术的价值

    网络空间测绘技术就互联网空间上的资产(如服务器和设备的端口、协议、应用,乃至漏洞等)进行纵深探测,建立分布情况和网络关系索引,对资产安全状况进行建模分析和画像刻画。
    相对于现实中使用的地图用来各种测绘方法描述和标注地理位置,网络空间测绘就是用主动加被动探测的方法,结合业务特点对资产重要程度、业务安全要求进行归纳,发现互联网资产暴露面、未知资产类型等关键安全信息,实现互联网资产的可查、可定位、操作可识别,从而解决未知资产发现和防护不足的难题。
    image.png
    图2 网络空间资产类型
    目前,网络空间测绘技术主要分为三个阶段:
    一、资产可查:探测互联网暴露面存在的设备、协议、服务类型等信息;
    二、资产可定位:梳理资产所归属的地理及单位信息;
    三、资产操作可识别:资产状态发生变化,可以识别出具体变化情况。
    image.png
    图3 网络空间测绘三个阶段
    通过以上三个阶段的网络空间资产测绘,我们可以清晰明了的资产的“IP+设备+位置+人”画像与关系图谱,我们也就拥有了一张完整的网络空间“作战指挥地图”。

    结束语

    2016年4月19日,总书记在《在网络安全和信息化工作座谈会上的讲话》中谈到:“全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险”。
    态势感知技术的运用是为了建立网络空间的“免疫”系统,通过对网络威胁的全天候全方位感知,特别是对传统安全设备难以发现和防御的深层次威胁进行感知,从而可以及时响应,及时处置,做到最大限度止损、最快速度消除影响,并根据需要进行必要的反制,破敌于源头,实现从被动防御向主动防御的转化。
    因此,网络空间测绘技术作为网络态势感知体系的第一环节:“知己”,是网络空间态势感知体系中十分重要数据支撑,在网络态势感知体系中,全方位、多维度的网络资产测绘不可或缺。
    在当今我国把网络空间安全概念提升到一个重要的层次时,则更显重要。