背景现状

2019年委内瑞拉停电事件分析

2019-3-7 04:50

▪  加拉加斯地区，古里水电站遭遇网络攻击，18/23州停电

2019-3-9 19:00

▪  玻璃瓦尔州变压器爆炸，再次停电

▪  移动设备、电磁攻击

2019-3-11 20:00左右

▪  米兰达州变电站燃烧爆炸，瘫痪了加拉加斯的所有电力

2019-3-25 21:00

▪  首都加拉加斯联邦地区爆炸，16/23州停电

2019-4-9 00:00

▪  首都加拉加斯联邦地区停电

▪  地铁、机场、医院、通信、银行等全部停运

意义—国家对网空资产治理高度重视

▪  网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了

▪  维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生的风险，正所谓“聪者听于无声，明者见于无形”

▪  要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改

▪  要树立正群的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设

▪  做到关口前移、防护于未然

现状—人工维护成本高效果差

▪  上级单位要求下级单位上报资产信息

▪  下级单位派专人统计相关资产信息

▪  统计专员手工登记或数据库录入信息 

▪  资产信息整理成册或数据库数据

问题—信息资产状况不清晰

存活资产？

▪  我方网络环境中，众多资产，存活的资产有哪些？

资产信息？ 

▪  存活的资产中具体的资产信息内容是什么?

影响范围？

▪  特大型安全事件，如勒索病毒出现，辖区受害面多大？

漏洞情况？

▪  现有全球公布的最多漏洞100000个，我方网络空间泄露的设备中多少漏洞？

漏洞分布？

▪  漏洞分布在那些区域？重点工事？

总体技术方案

探测技术方案

资产信息的效果展示

资产信息-基础信息展示

资产信息-端口信息展示

端口信息主要包括：

▪  网站标题、组件名称、系统名称、系统类型、设备名称、设备类型、厂商名、所属组织、更新时间、品牌、证书

端口信息获取：

▪  指纹匹配

▪  深度协议扫描匹配

资产信息-域名信息展示

域名探测：

▪  基于域名解析成IP，通过IP+port的形式进行探测

域名信息主要包括：

▪  域名对应ip、网站标题、组件名称、系统名称、系统类型、所属组织、更新时间、品牌、证书

资产信息-漏洞信息展示

漏洞信息主要包括：已确认的POC、存在的CVE以及可选PoC

漏洞情况及分布情况

展示具体弱口令信息

拓扑探测

利用MTR工具,发送ICMP包，通过修改TTL参数来对每一跳进行测试在指纹探测的基础上对探测目标（65535个ip）进行网络拓扑绘测。

关联分析

基于目标地址（最多10个IP），进行80和443端口的探测，实现证书获取、整个C段信息探查、Whois查询、以及r/fDNS查询功能。

可视化大屏展示

自定义POC

自定义POC功能：依据特定规则模板，自定义poc规则

关键技术

关键技术1：基于DPDK的无状态防溯源高速探测引擎

DPDK技术、自研用户态协议栈及动态优化发包策略，实现低带宽条件下的高速发包，探测目标切片离散化、源IP和端口离散化，防止溯源；定制发包参数，模拟正常客户端访问，降低被识别成攻击流量的可能性。

关键技术2：指纹的基本标准

关键技术3：协议的深度探测

完成对108种协议的深度探测。结合漏洞、配置参数、协议特性、指纹特性实现了协议的深度探测和信息获取。

关键技术4：网络隐形目标识别技术,提高靶向能力

关键技术点5：基于网络传输质量的自适应TCP/IP协议栈

产品优势

网络空间资产探测系统

▪  20+大类、14W+条指纹，人工手动筛选检验整理，包括：主流路由器、防火墙、摄像头、打印机、操作系统等，保持每周更新；

▪  20种以上目标特征标识，包括：IP地址、端口服务、国家地区、经纬度、设备类型、操作系统、运营商、ASN、组件信息等；

▪  最新CVE官方漏洞库（15W+），以及自研POC插件验证（2500+），保持每周更新；

▪  存活探测速度可达到，C段全端口存活30min完成；B段常用端口20min完成；

▪  指纹探测速度可达到，C段全端口1.5H完成；B段常用端口1H完成；

▪  重大安保、关键基础设施等2小时完成省级规模普查。

应用场景

视频专网等各类资产摸底

应用场景

▪  近些年各级单位对管辖范围内资产关注程度异日提升，面对老旧资产，模糊的台账信息，造成用户无法了解当前资产的存活情况以及具体信息。对于未知资产的存在，越来越得到用户的重视。

解决方案

▪  网络空间资产探测系统可对目标地址进行探测，包括已知未知资产、专网资产、视频资产、智慧城市等资产环境均可进行普查探测，资产摸底，使用户快速掌握资产情况。

应用价值

▪  对各种场景下的资产可进行摸底探测，使资产变得清晰可见

0day爆发，宏观监控安全疫情面扩散

应用场景

▪  2021年3月11日， F5 BIG-IP/BIG-IQ iControlREST 未授权远程代码执行漏洞爆发，基于全球资产开始进行摸排，确认影响范围

解决方案

▪  RaySpace系统快速普查资产，针对此漏洞进行验证，同时确认全球50余万台设备对公网公开，排名前三的为美国、中国和英国，其中我国境内开发3万余台，台湾所占最高，通过普查，紧急形成汇总报告，进行预警。

应用价值

▪  可针对特定漏洞进行快速普查

▪  可将漏洞资产整理同步相关部门

关键信息基础设施资产、国产化资产探测

关键信息基础设施

▪  关键信息基础设施是国家的重要资产，关涉国家安全和人民生产生活，是国之重器。因此关基资产的摸底是安全保护的第一步

▪  网络安全法第三十一条指出：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护

应用价值

▪  获取关基资产、国产化资产的详细资产情况

▪  快速掌握关基资产、国产化资产的安全态势

解决方案

▪  网络空间资产探测系统支持关基资产、国产资产的探测，通过对行业资产划分可识别关基资产、国产化资产的指纹及状态信息，同时也支持对关基资产、国产化资产进行漏洞检测，快速掌握此类资产的安全态势

部署模式-单机版

部署模式-集群版