數(shù)字資產(chǎn)風(fēng)險(xiǎn)管控平臺(tái)解決方案

數(shù)字資產(chǎn)風(fēng)險(xiǎn)管理平臺(tái)這是以數(shù)字資產(chǎn)為核心，結(jié)合威脅情報(bào)對企業(yè)威脅進(jìn)行跟蹤和管理的數(shù)字資產(chǎn)威脅管理平臺(tái)。能夠幫助用戶梳理企業(yè)內(nèi)外網(wǎng)的數(shù)字資產(chǎn)情況，并在長期威脅監(jiān)測的基礎(chǔ)上，對威脅的解決與否、解決時(shí)間進(jìn)行跟蹤，結(jié)合外部威脅情報(bào)，能夠在發(fā)現(xiàn)威脅的時(shí)候通過對資產(chǎn)的良好梳理，快速定位威脅的影響范圍從而能夠更快地判定和處理威脅。

一、核心功能

1.資產(chǎn)管理

通過資產(chǎn)管理功能，企業(yè)能夠跟蹤信息系統(tǒng)資產(chǎn)發(fā)生的變化，并能夠在發(fā)現(xiàn)威脅的時(shí)候通過對資產(chǎn)的良好梳理，快速定位威脅的影響范圍從而能夠更快地判定和處理威脅。

1）主動(dòng)IT資產(chǎn)發(fā)現(xiàn)

2）流量被動(dòng)資產(chǎn)發(fā)現(xiàn)

通過流量采集分析引擎——“P-assets”，該引擎通過在旁路部署流量采集節(jié)點(diǎn)，獲取網(wǎng)絡(luò)設(shè)備的鏡像流量，在不影響系統(tǒng)、業(yè)務(wù)正常運(yùn)行的情況下收集產(chǎn)生的流量數(shù)據(jù)，從而對這些數(shù)據(jù)進(jìn)行分析并識(shí)別資產(chǎn)信息，包括：IP、端口、協(xié)議、URL、指紋等內(nèi)容。

3）APP資產(chǎn)發(fā)現(xiàn)和分析

能夠根據(jù)用戶設(shè)置的企業(yè)關(guān)鍵詞發(fā)現(xiàn)企業(yè)在各大市場上發(fā)布的APP應(yīng)用，并能夠展示這些APP對應(yīng)的歷史版本。

4）端口檢測和指紋識(shí)別

當(dāng)獲取到全部開放IP和URL資產(chǎn)后，平臺(tái)會(huì)進(jìn)行1-65535全量端口監(jiān)測，并探測banner信息和指紋信息，判斷資產(chǎn)上開放的組件信息，并能夠針對網(wǎng)站應(yīng)用進(jìn)一步信息獲取，包含網(wǎng)站TITLE信息，網(wǎng)站Head信息等。

5）資產(chǎn)畫像

結(jié)合檢測到的開放信息、漏洞信息，以及用戶記錄的內(nèi)外網(wǎng)關(guān)聯(lián)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等內(nèi)容，并形成可視化畫像，幫助用戶理解資產(chǎn)的開放情況和風(fēng)險(xiǎn)情況。

6）自動(dòng)化標(biāo)簽識(shí)別

在常規(guī)組件識(shí)別的基礎(chǔ)上，平臺(tái)還支持用戶以標(biāo)簽的方式來識(shí)別資產(chǎn)，用戶可以自定義這些標(biāo)簽的識(shí)別規(guī)則。如識(shí)別某些banner信息對應(yīng)的是防火墻設(shè)備類型，或識(shí)別某些IP為云主機(jī)IP。

7）資產(chǎn)變化跟蹤

基于資產(chǎn)發(fā)現(xiàn)功能基礎(chǔ)上，平臺(tái)還會(huì)對多次探測到的端口和組件信息進(jìn)行比對，標(biāo)注新增遺留和減少狀態(tài)，幫助用戶判定是否有新上線的業(yè)務(wù)。

8）多條件復(fù)雜檢索

平臺(tái)將資產(chǎn)的多個(gè)關(guān)聯(lián)和屬性以知識(shí)圖譜的方式形成資產(chǎn)畫像，用戶可以用多個(gè)條件對資產(chǎn)進(jìn)行復(fù)雜檢索，比如在weblogic漏洞爆發(fā)時(shí)，用戶就可以利用平臺(tái)檢索所有的在80端口上開放了weblogic使用了linux系統(tǒng)隸屬于某個(gè)負(fù)責(zé)人而且存在高危漏洞的全部資產(chǎn)。
這種復(fù)雜的資產(chǎn)檢索能夠幫助安全管理員在出現(xiàn)風(fēng)險(xiǎn)時(shí)快速定位到相應(yīng)的資產(chǎn)。

 

2.威脅管理

1）多維度漏洞監(jiān)測
平臺(tái)采用引擎和插件結(jié)合的方式進(jìn)行檢測，檢測內(nèi)容包括主機(jī)漏洞和web漏洞，除常規(guī)漏洞庫外還囊括了近五年內(nèi)全部0day漏洞。平臺(tái)還支持使用不同檢測深度（支持單個(gè)漏洞）進(jìn)行批量檢測。
檢測結(jié)束后，會(huì)針對單個(gè)檢測任務(wù)和企業(yè)全系統(tǒng)生成報(bào)告，用戶可以查看報(bào)告或追溯單個(gè)漏洞的檢測歷史。
2）弱口令監(jiān)測
平臺(tái)支持弱口令字典自定義，用戶可以根據(jù)企業(yè)自身情況，自定義探測的用戶名和密碼內(nèi)容，但為了避免對系統(tǒng)可用性的影響，建議用戶不要增加超過五十個(gè)用戶名和密碼。
平臺(tái)會(huì)根據(jù)用戶自定義的弱口令進(jìn)行檢測，查看企業(yè)IT組件管理后臺(tái)是否存在弱口令問題。除了發(fā)現(xiàn)弱口令外，平臺(tái)還會(huì)對所有弱口令進(jìn)行統(tǒng)計(jì)和跟蹤，幫助用戶判斷管理后臺(tái)弱口令問題的分布和存在情況。
3）代碼泄露
代碼泄露功能幫助用戶發(fā)現(xiàn)代碼托管網(wǎng)站上開發(fā)或外包人員未經(jīng)允許上傳的公司項(xiàng)目代碼，這些代碼中經(jīng)常會(huì)存在一些敏感信息，比如網(wǎng)絡(luò)入口，資產(chǎn)，用戶名密碼等。平臺(tái)通過定期爬取網(wǎng)站項(xiàng)目的方式，獲取含有用戶定義的關(guān)鍵詞的文件，幫助用戶發(fā)現(xiàn)并管理這些上傳行為。
4）漏洞白名單
在對漏洞日常的掃描和加固工作中，往往會(huì)出現(xiàn)掃描器誤報(bào)或已經(jīng)用其他方式修復(fù)或放在內(nèi)網(wǎng)因沒有相應(yīng)的外部威脅而不需要修復(fù)的漏洞。漏洞白名單功能允許用戶將這種漏洞加入白名單。加入白名單的漏洞將不顯示在最終的統(tǒng)計(jì)結(jié)果和報(bào)表中，方便企業(yè)用戶進(jìn)行風(fēng)險(xiǎn)統(tǒng)計(jì)和安全考核。
5）定制化檢測任務(wù)
平臺(tái)為用戶提供了便捷的任務(wù)模式。用戶可以針對不同的資產(chǎn)設(shè)置掃描頻率，掃描周期，掃描時(shí)間，此外用戶還可以對每個(gè)任務(wù)設(shè)置禁止檢測的時(shí)間周期，避免在高峰時(shí)期的掃描帶來的性能影響。平臺(tái)支持針對單個(gè)0day漏洞的時(shí)候快速一鍵下發(fā)任務(wù)，并能夠在用戶加固后進(jìn)行任務(wù)復(fù)查，幫助跟蹤0day漏洞加固結(jié)果。

6）漏洞生命周期管理
為便于用戶跟蹤漏洞的修復(fù)進(jìn)展，平臺(tái)還為用戶提供了漏洞生命周期管理功能。安全管理員能夠?qū)⒙┒粗概山o對應(yīng)的業(yè)務(wù)或資產(chǎn)負(fù)責(zé)人并設(shè)置截止時(shí)限和狀態(tài)，通過系統(tǒng)自動(dòng)判定的漏洞狀態(tài)和工單流程狀態(tài)的比對，跟蹤漏洞的修復(fù)進(jìn)展。如發(fā)現(xiàn)系統(tǒng)自動(dòng)判定漏洞狀態(tài)為新建，流程狀態(tài)為關(guān)閉，則可能是漏洞的重新出現(xiàn)。同時(shí)，安全管理員能夠在漏洞詳情處查看漏洞的每一次狀態(tài)變更、負(fù)責(zé)人員變更，了解到漏洞的生命周期變化。

 

3.情報(bào)研判

1）結(jié)合式漏洞情報(bào)
作為烽火臺(tái)威脅情報(bào)聯(lián)盟成員，從多個(gè)來源獲取情報(bào)數(shù)據(jù)（包括 CNCERT、IBM X-Force 等），通過自有星河情報(bào)平臺(tái)以STIX國際格式分解和存儲(chǔ)情報(bào)，并為情報(bào)通過CVE編號(hào)CPE編號(hào)等方式進(jìn)行標(biāo)記。
2）流量攻擊情報(bào)
平臺(tái)還為用戶提供了近三年的流量攻擊情報(bào)，用戶只需要輸入需要查詢的IP，即可獲取該IP近三年內(nèi)的流量攻擊數(shù)據(jù)，包括攻擊開始時(shí)間、攻擊類型、攻擊流量、攻擊發(fā)包率、攻擊目標(biāo)、時(shí)序事件、協(xié)議等信息。該數(shù)據(jù)來源于云堤數(shù)據(jù)。
3）暗網(wǎng)情報(bào)
平臺(tái)為用戶推出了暗網(wǎng)情報(bào)監(jiān)控功能，用戶通過設(shè)置企業(yè)的名稱和所屬行業(yè)，即可訂閱和企業(yè)相關(guān)的暗網(wǎng)情報(bào)內(nèi)容，并能夠收到暗網(wǎng)情報(bào)產(chǎn)生的告警。

 

4.定制化報(bào)告

1）自定義概覽頁
平臺(tái)為用戶提供了豐富的概覽內(nèi)容，用戶也可以自定義概覽頁顯示的模塊，目前平臺(tái)提供了30余種自定義模塊，包括資產(chǎn)統(tǒng)計(jì)、漏洞變化趨勢、端口變化趨勢、漏洞加固統(tǒng)計(jì)、組件開放統(tǒng)計(jì)、地理位置統(tǒng)計(jì)等，用戶可以任意拼接，顯示自己關(guān)注的概覽內(nèi)容。
2）豐富的導(dǎo)出報(bào)告
為了方便用戶使用，平臺(tái)還為用戶提供了多種多樣的導(dǎo)出報(bào)告，包括漏洞導(dǎo)出、弱口令導(dǎo)出、代碼泄露導(dǎo)出、端口導(dǎo)出、資產(chǎn)導(dǎo)出、域名導(dǎo)出、任務(wù)導(dǎo)出等內(nèi)容，導(dǎo)出格式包含excel、xml等。
3）互聯(lián)網(wǎng)資產(chǎn)威脅日報(bào)
互聯(lián)網(wǎng)資產(chǎn)的變化相比較內(nèi)網(wǎng)更不頻繁，但往往更具有風(fēng)險(xiǎn)性。平臺(tái)能夠每天為用戶生成互聯(lián)網(wǎng)資產(chǎn)威脅日報(bào)，同步資產(chǎn)和威脅的變化情況，便于用戶掌握每天的風(fēng)險(xiǎn)狀況。 4）資產(chǎn)威脅態(tài)勢月（周）報(bào)
平臺(tái)能夠根據(jù)用戶需求定期向平臺(tái)用戶發(fā)送資產(chǎn)威脅態(tài)勢月報(bào)/周報(bào)，用戶也可以以該模板自定義時(shí)間范圍生成報(bào)告。
報(bào)告內(nèi)容包含當(dāng)前漏洞、漏洞變化、當(dāng)前資產(chǎn)、資產(chǎn)變化、待確認(rèn)資產(chǎn)統(tǒng)計(jì)等內(nèi)容，便于用戶統(tǒng)計(jì)在一段時(shí)間內(nèi)的安全工作成果。

 

5.預(yù)警功能

用戶可以在平臺(tái)上自定義告警閾值，在新出現(xiàn)漏洞或高危漏洞數(shù)量達(dá)到閾值時(shí)告警。也支持用戶自定義高危端口和指紋信息或在出現(xiàn)關(guān)聯(lián)情報(bào)時(shí)告警。

 

二、平臺(tái)優(yōu)勢及特性

平臺(tái)的主要優(yōu)勢在于將企業(yè)資產(chǎn)與威脅結(jié)合管理。能夠以資產(chǎn)管理為和核心基礎(chǔ)，結(jié)合企業(yè)真實(shí)環(huán)境發(fā)現(xiàn)、檢測和分析威脅，并能夠在出現(xiàn)高危0day時(shí)，通過前期對資產(chǎn)的梳理，幫助用戶快速定位和處理。
1.精確發(fā)現(xiàn)威脅
傳統(tǒng)掃描模式發(fā)現(xiàn)和分析威脅的方式都相對單一，往往僅管理威脅本身，并沒有從企業(yè)實(shí)際情況出發(fā)。
平臺(tái)支持系統(tǒng)漏洞、應(yīng)用漏洞和插件式掃描，結(jié)合企業(yè)真實(shí)資產(chǎn)情況進(jìn)行威脅風(fēng)險(xiǎn)二次評(píng)級(jí)，并能夠通過結(jié)合人工驗(yàn)證的方式，幫助企業(yè)精確發(fā)現(xiàn)威脅。
2.快速響應(yīng)0day
通過長期資產(chǎn)監(jiān)控維護(hù)資產(chǎn)列表，當(dāng)出現(xiàn)0day的時(shí)候，平臺(tái)能夠快速推送相關(guān)情報(bào)，并根據(jù)0day系統(tǒng)/設(shè)備/應(yīng)用版本信息快速定位到可能受到影響的資產(chǎn)，幫助用戶排查并修復(fù)0day漏洞。
此外，平臺(tái)作為國家信息安全漏洞共享平臺(tái)（CNVD）的技術(shù)組成員單位和烽火臺(tái)威脅聯(lián)盟成員，有快速獲取最新0day的多種渠道，并能在24小時(shí)內(nèi)形成檢測插件更新到平臺(tái)上，幫助用戶檢測最新0day。
3.資產(chǎn)管理功能
平臺(tái)支持用戶以多個(gè)角色權(quán)限管理數(shù)字資產(chǎn)，能夠發(fā)現(xiàn)企業(yè)開放在互聯(lián)網(wǎng)上的IP、URL、APP等多種數(shù)字資產(chǎn)。并能夠?qū)?nèi)網(wǎng)資產(chǎn)和外網(wǎng)資產(chǎn)關(guān)聯(lián)起來，通過長期資產(chǎn)監(jiān)測，發(fā)現(xiàn)資產(chǎn)變化，幫助用戶梳理內(nèi)外網(wǎng)IT資產(chǎn)關(guān)系。支持多維度IT資產(chǎn)的檢索和定位。
4.漏洞跟蹤管理
通過長期漏洞監(jiān)測，跟蹤漏洞的修復(fù)和加固情況，并允許用戶將漏洞指派給對應(yīng)負(fù)責(zé)人，幫助用戶跟進(jìn)漏洞的生命周期變化，并能夠直觀展示監(jiān)測結(jié)果和流程結(jié)果的比對情況，幫助判定重新出現(xiàn)和未修復(fù)成功的漏洞。
5.代碼泄露跟蹤
平臺(tái)能夠監(jiān)控Github和碼云等git代碼托管平臺(tái)上的共享項(xiàng)目，發(fā)現(xiàn)企業(yè)或外外包人員上傳的風(fēng)險(xiǎn)代碼，并跟蹤可疑項(xiàng)目的變化。平臺(tái)還能夠提供作者和語言維度的項(xiàng)目分析，幫助企業(yè)安全人員判斷項(xiàng)目的可疑程度，同時(shí)，平臺(tái)還能夠通過結(jié)合式運(yùn)營服務(wù)幫助用戶驗(yàn)證項(xiàng)目的風(fēng)險(xiǎn)。
6.暗網(wǎng)情報(bào)分析
平臺(tái)能夠幫助用戶獲取并過濾暗網(wǎng)上發(fā)生的與企業(yè)相關(guān)的事件，并允許用戶標(biāo)記暗網(wǎng)事件是否可疑，并能夠通過服務(wù)的方式幫助用戶追溯暗網(wǎng)情報(bào)。能夠通過暗網(wǎng)監(jiān)測引擎，監(jiān)測黑灰產(chǎn)各大交易市場、論壇、Blog、FTP等信息發(fā)布途徑，監(jiān)測相關(guān)代碼泄露、交易數(shù)據(jù)販賣、滲透/漏洞/攻擊等進(jìn)行賣買行為。支持?jǐn)?shù)字貨幣錢包跟蹤，通過監(jiān)測引擎，監(jiān)測黑灰產(chǎn)團(tuán)伙交易數(shù)據(jù)所使用的比特幣、無限幣、夸克幣、門羅幣等各種虛擬貨幣交易帳號(hào)和郵件。

 

三、部署模式

平臺(tái)提供三種方式部署，用戶可以根據(jù)需求選擇不同部署方式。
1.公有云部署
公有云模式適合僅需要檢測和梳理互聯(lián)網(wǎng)資產(chǎn)且企業(yè)資產(chǎn)數(shù)據(jù)敏感度低的用戶，公有云模式中企業(yè)資產(chǎn)和威脅數(shù)據(jù)均存儲(chǔ)在云端。
公有云模式無需部署，由責(zé)任銷售發(fā)起申請并提供賬號(hào)即可使用。
2.混合云部署
混合云部署模式適合需要對內(nèi)外網(wǎng)資產(chǎn)進(jìn)行資產(chǎn)威脅管理或僅需管理互聯(lián)網(wǎng)資產(chǎn)，但對數(shù)字資產(chǎn)的數(shù)據(jù)敏感程度較低的用戶。
當(dāng)用戶還需要對內(nèi)網(wǎng)資產(chǎn)進(jìn)行管理和檢測時(shí)，用戶需要在企業(yè)內(nèi)網(wǎng)根據(jù)內(nèi)網(wǎng)隔離情況分布式部署掃描節(jié)點(diǎn)，具體部署模式可參照下方示意圖。

3.私有云部署
私有云適用于數(shù)據(jù)機(jī)密性較高的用戶，用戶可以在內(nèi)網(wǎng)同時(shí)部署外網(wǎng)掃描節(jié)點(diǎn)和內(nèi)網(wǎng)掃描節(jié)點(diǎn)，掃描任務(wù)均在用戶內(nèi)網(wǎng)側(cè)執(zhí)行，資產(chǎn)和威脅數(shù)據(jù)不會(huì)經(jīng)互聯(lián)網(wǎng)網(wǎng)傳輸，保密性較高。該種部署模式對用戶服務(wù)器資源和帶寬資源要求較高，且由于無法連接外網(wǎng)，情報(bào)等部分功能可能會(huì)受到影響。