＜网络安全＞《7 网络资产测绘和脆弱性管理系统》

1 概念

互联网资产通常大致分为Web类和设备类。Web类包括网站、APP、微信小程序；设备类包括路由器、交换机、网关、防火墙、WAF等。这些信息资产暴露在互联网上的信息包括IP地址、域名、端口、中间件、应用、技术架构等。通常包括且不限于在用、试用和停用的IP地址、域名、网络端口、信息系统和设备等资产情况。

网络空间资产测绘简称CAM。是通过一些技术手段、工具来探测网络空间中的一些信息之后将查到的资产数据进行关联展现出来。

2 资产的指纹特征

内外网ip地址、端口号、证书、域名、操作系统、web应用、中间件/框架等构成了某机构某台服务器的指纹特征。

确定指纹特征的目标是，准确描述和定位某个资产的安全属性。

3 资产测绘的用途

1、在对抗演练、攻防演练、梳理资产的暴露面。
2、监管部门进行安全监管、风险排查及监督整改。
3、企业的网络部门对资产识别管理。
4、APT（命令行）、僵尸网络、攻击框架等方向上的主动测绘应用，在网络数据泄露上的探测应用等

4 资产测绘的流程

1. 明确客户的已知资产、开放端口等等
2. 获取用户指纹信息形成用户画像（title、body、ico、代码等等）
3. 根据测绘表对指纹信息进行搜索
4. IP地址是否在监控范围，如若不在其范围内也得标记清楚
5. 监控周期维持一周
6. 之后继续检索下一条数据，必要时将搜集信息留存截图以便后续报告

5 网络资产存在的问题

1、网络资产类型多、属性不清晰

网络资产类型多、属性不清晰现有手段无法快速收集、检索网络资产，缺乏检索识别网络资产特征库。

2、网络资产规模大、可见度差，隐藏着潜在威胁

无法全面收集网络资产，缺乏集中监控和管理平台。

3、突发安全漏洞事件难以及时快速分析验证和统计受影响情况

缺乏有效的系统平台快速全面发现受影响网络资产，并采取修补或其他防范措施。

5 网络资产测绘功能

1、端口扫描

2、协议识别

3、产品识别

4、漏洞专扫

POC:全称 ’ Proof of Concept ',中文 ’ 概念验证 ’ ,常指一段漏洞证明的代码。

6 资产测绘识别种类

物联网设备：视频监控、生活家电、自动化控UPS、媒体设备等
网络应用：脚本语言、网站模块、开发框架、论坛社区、电商系统、前端库、服务器管理、项目管理等
云平台软件：企业云平台、大数据、日志分析CDN、虚拟化、Saas平台、托管平台、云主机等
企业应用：财务系统、邮件系统、企业管理、CRM、项目管理、客服系统、OA系统、邮件服务器、ERP等
服务器：DNS服务器、负载均衡、代理服务器等
工控系统：CoDeSys、 GE-SRTP、s7、Modbus、 MELSEC-Q、DNP、BACnet、HART等
数据库：MySQL. MongoDB. ORACLE、Elasticsearch、Redis、CouchDB、DB2等
Web组件：脚本语言、广告联盟、网站模块、开发框架、论坛社区、电商系统、前端库、SSL证书等
网络设备：网络设备路由器、交换机、ADSL、网关、视频会议等
网络安全设备：防火墙、WAF、UTM、VPN、入侵检测、CDN、网站云防护、安全检测平台、抗DDOS、扫描器等