网藤PRS2.0 |「场景化」风险感知，从概念到现实

2017年12月14-15日，由FreeBuf主办的第三届年度互联网安全峰会——FIT 2018互联网安全创新大会在上海成功举办。本次大会吸引近5000人次观众以及70余位全球顶级信息安全专家与会，围绕安全展开精彩的分享讨论。

 

在大会首日的X-TECH技术派对环节，斗象科技联合创始人兼CTO张天琪首先登台带来《大道至简：解锁「场景化」风险感知》的分享，受到与会观众的关注。

新技术环境下的威胁现状

每年，我们都会看到非常多的数据泄漏事件发生，人们对此几乎已经麻木。为何这类事件总是频繁出现？以近期爆出的Uber和大疆的数据泄漏事件进行对比分析后发现，两个数据泄漏事件产生的原因有一个共性——使用了云存储服务，而由于掌握有云存储token权限的开发人员缺乏安全意识，把token泄漏到了GitHub中，从而被其他开发人员发现并直接利用。

张天琪在演讲中表示，如今云服务已经被越来越多的企业接受应用，企业资产数据随之变得无比庞大且复杂，人为因素造成的失误泄漏难以避免，而这些看似毫无技术含量的问题却常能给企业直接造成巨大损失。

未知攻，焉知防

当前，许多公司的业务都在向应用层发展，应用层中又以Web应用攻击最为严重。随着技术进步，在Web开发领域拥有了越来越多种的前端框架、Web框架、存储组件和认证授权流程。应用构建的复杂度在提升，构建应用多样化丰富，随之而来的是威胁攻击也在持续更新升级，愈加复杂。

在OWASP TOP10 2010-2017年的统计中可以明显感受到这种变化。例如CSRF一个曾经引起广泛影响的漏洞逐渐淡出了榜单，取而代之的是对漏洞进行组合利用，攻击手段更加复杂多样化的XML攻击、不安全的反序列化漏洞攻击等。这对于风险感知检测，特别是自动化的风险感知检测提出了更高的要求。传统的使用单一同步检测的手段已经不能够满足需求，异步检测，多种规则手段组合才能完成风险感知告警。

以资产为核心的新进化

早在2014年，斗象科技就提出了以资产为核心构建企业安全风险检测防御体系。彼时，许多人对此仍抱有疑问，拥有专门的运维团队和管理系统负责企业资产，为何还需要安全产品来梳理保护？经过近几年安全态势的演进发展，越来越多人意识到，资产管理并不是一件简单的事。张天琪在演讲中举例提到，“漏洞盒子的很多项目中我们时常遇到，在将漏洞提交后，由于人员变动等原因，厂商找不到其对应的源头和负责人，造成安全威胁一直都存在。”

“以资产为核心”的技术实现

资产挖掘发现

通过主动爬取与被动监测对全网资产进行深度抓取，资产挖掘不仅仅只是局限于IP、域名进行分析，而是对企业的所有资产以及指纹信息进行分析监听。

资产分解&梳理建模

通过对资产的深度分析结合企业业务对资产进行建模。

创建资产正常基线，通过一定量的数据，我们可以根据以下部分做为基线的标准：

静态属性

资产类型：通过访问与被访问的流量情况判别是服务器还是客户端

端口服务：可以通过nmap的主动扫描与被访问的端口情况，以及主动或被动识别到的服务类型、服务版本等

应用指纹

用途类别

动态属性

资产交互关系：通过协议数据统计每个资产的交互情况，建立交互关系表（包括客户端IP、主动访问的服务器IP/域名及服务、协议、时间等）

通过资产发现、威胁建模、安全监测自动化分析模式，网藤从数据和流量中帮助企业自动清点IT资产关系及网络边界，深度发现企业暴露在外设备，端口以及应用服务，智能识别资产属性以及重要度，并结合业务特点进行动态变换。