背景現狀

2019年委內瑞拉停電事件分析

2019-3-7 04:50

?  加拉加斯地區，古里水電站遭遇網絡攻擊，18/23州停電

2019-3-9 19:00

?  玻璃瓦爾州變壓器爆炸，再次停電

?  移動設備、電磁攻擊

2019-3-11 20:00左右

?  米蘭達州變電站燃燒爆炸，癱瘓了加拉加斯的所有電力

2019-3-25 21:00

?  首都加拉加斯聯邦地區爆炸，16/23州停電

2019-4-9 00:00

?  首都加拉加斯聯邦地區停電

?  地鐵、機場、醫院、通信、銀行等全部停運

意義—國家對網空資產治理高度重視

?  網絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發現不了，結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發作了

?  維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生的風險，正所謂“聰者聽于無聲，明者見于無形”

?  要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改

?  要樹立正群的網絡安全觀，加強信息基礎設施網絡安全防護，加強網絡安全信息統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設

?  做到關口前移、防護于未然

現狀—人工維護成本高效果差

?  上級單位要求下級單位上報資產信息

?  下級單位派專人統計相關資產信息

?  統計專員手工登記或數據庫錄入信息 

?  資產信息整理成冊或數據庫數據

問題—信息資產狀況不清晰

存活資產？

?  我方網絡環境中，眾多資產，存活的資產有哪些？

資產信息？ 

?  存活的資產中具體的資產信息內容是什么?

影響范圍？

?  特大型安全事件，如勒索病毒出現，轄區受害面多大？

漏洞情況？

?  現有全球公布的最多漏洞100000個，我方網絡空間泄露的設備中多少漏洞？

漏洞分布？

?  漏洞分布在那些區域？重點工事？

總體技術方案

探測技術方案

資產信息的效果展示

資產信息-基礎信息展示

資產信息-端口信息展示

端口信息主要包括：

?  網站標題、組件名稱、系統名稱、系統類型、設備名稱、設備類型、廠商名、所屬組織、更新時間、品牌、證書

端口信息獲?。?/span>

?  指紋匹配

?  深度協議掃描匹配

資產信息-域名信息展示

域名探測：

?  基于域名解析成IP，通過IP+port的形式進行探測

域名信息主要包括：

?  域名對應ip、網站標題、組件名稱、系統名稱、系統類型、所屬組織、更新時間、品牌、證書

資產信息-漏洞信息展示

漏洞信息主要包括：已確認的POC、存在的CVE以及可選PoC

漏洞情況及分布情況

展示具體弱口令信息

拓撲探測

利用MTR工具,發送ICMP包，通過修改TTL參數來對每一跳進行測試在指紋探測的基礎上對探測目標（65535個ip）進行網絡拓撲繪測。

關聯分析

基于目標地址（最多10個IP），進行80和443端口的探測，實現證書獲取、整個C段信息探查、Whois查詢、以及r/fDNS查詢功能。

可視化大屏展示

自定義POC

自定義POC功能：依據特定規則模板，自定義poc規則

關鍵技術

關鍵技術1：基于DPDK的無狀態防溯源高速探測引擎

DPDK技術、自研用戶態協議棧及動態優化發包策略，實現低帶寬條件下的高速發包，探測目標切片離散化、源IP和端口離散化，防止溯源；定制發包參數，模擬正?？蛻舳嗽L問，降低被識別成攻擊流量的可能性。

關鍵技術2：指紋的基本標準

關鍵技術3：協議的深度探測

完成對108種協議的深度探測。結合漏洞、配置參數、協議特性、指紋特性實現了協議的深度探測和信息獲取。

關鍵技術4：網絡隱形目標識別技術,提高靶向能力

關鍵技術點5：基于網絡傳輸質量的自適應TCP/IP協議棧

產品優勢

網絡空間資產探測系統

?  20+大類、14W+條指紋，人工手動篩選檢驗整理，包括：主流路由器、防火墻、攝像頭、打印機、操作系統等，保持每周更新；

?  20種以上目標特征標識，包括：IP地址、端口服務、國家地區、經緯度、設備類型、操作系統、運營商、ASN、組件信息等；

?  最新CVE官方漏洞庫（15W+），以及自研POC插件驗證（2500+），保持每周更新；

?  存活探測速度可達到，C段全端口存活30min完成；B段常用端口20min完成；

?  指紋探測速度可達到，C段全端口1.5H完成；B段常用端口1H完成；

?  重大安保、關鍵基礎設施等2小時完成省級規模普查。

應用場景

視頻專網等各類資產摸底

應用場景

?  近些年各級單位對管轄范圍內資產關注程度異日提升，面對老舊資產，模糊的臺賬信息，造成用戶無法了解當前資產的存活情況以及具體信息。對于未知資產的存在，越來越得到用戶的重視。

解決方案

?  網絡空間資產探測系統可對目標地址進行探測，包括已知未知資產、專網資產、視頻資產、智慧城市等資產環境均可進行普查探測，資產摸底，使用戶快速掌握資產情況。

應用價值

?  對各種場景下的資產可進行摸底探測，使資產變得清晰可見

0day爆發，宏觀監控安全疫情面擴散

應用場景

?  2021年3月11日， F5 BIG-IP/BIG-IQ iControlREST 未授權遠程代碼執行漏洞爆發，基于全球資產開始進行摸排，確認影響范圍

解決方案

?  RaySpace系統快速普查資產，針對此漏洞進行驗證，同時確認全球50余萬臺設備對公網公開，排名前三的為美國、中國和英國，其中我國境內開發3萬余臺，臺灣所占最高，通過普查，緊急形成匯總報告，進行預警。

應用價值

?  可針對特定漏洞進行快速普查

?  可將漏洞資產整理同步相關部門

關鍵信息基礎設施資產、國產化資產探測

關鍵信息基礎設施

?  關鍵信息基礎設施是國家的重要資產，關涉國家安全和人民生產生活，是國之重器。因此關基資產的摸底是安全保護的第一步

?  網絡安全法第三十一條指出：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護

應用價值

?  獲取關基資產、國產化資產的詳細資產情況

?  快速掌握關基資產、國產化資產的安全態勢

解決方案

?  網絡空間資產探測系統支持關基資產、國產資產的探測，通過對行業資產劃分可識別關基資產、國產化資產的指紋及狀態信息，同時也支持對關基資產、國產化資產進行漏洞檢測，快速掌握此類資產的安全態勢

部署模式-單機版

部署模式-集群版