專網空間測繪：基於資產的下一代掃描器

近日， 蠕蟲勒索病毒WannaCry利用NSA的“永恆之藍”（EternalBlue）漏洞襲卷全球網路， 大規模感染全球電腦網路， 波及近100個國家， 我國大量行業企業內網遭到感染， 將網路安全問題再一次推上了風口浪尖。

大家通常認為行業專網是比較安全的， 但事實是內部網路由於漏洞修補滯後， 攻擊者或病毒一旦突破網路隔離， 就很容易對內部發起攻擊。 由於內網的資訊資產和資料價值更大， 被攻擊後影響也更為嚴重。 這次的勒索病毒恰恰是通過違規邊界， 從互聯網傳進專網， 然後在專網中大肆傳播感染。 所以， 及時發現專網與互聯網的違規通道，

是專網防護的關鍵問題之一。

大型專網經過二十餘年、多期工程的建設， 內部設備數量繁多、種類型號複雜、業務應用堆疊， 對設備資產的管理工作還停留在手動登記方式， 很多設備和應用實際已無使用但仍未下線， 資產台賬和線上設備難以吻合， 一旦發生安全事件， 這些脫管設備很容易成為駭客和病毒發動攻擊的支點。 此次勒索病毒擴散事件， 大量廢舊系統被感染， 成為蠕蟲傳播的根據地。

傳統基於主機漏洞和網路漏洞的掃描器均是通過漏洞逐項驗證的方式， 對IP進行盲目輪詢掃描， 效率低下， 誤報率較高， 當風險發生時， 很難在短時間內有效探測影響範圍， 拉長了風險擴散週期， 造成威脅不能被第一時間處理。

並且， 其功能單一， 不能夠滿足逐步發展的安全管理和技術發展需求。 當安全事件發生時， 處置過程中暴露出傳統安全管理和技術措施上存在的掣肘問題：

管理方面：

資產管理方式落後、更新緩慢， 無法核驗；資產數量龐大， 業務系統繁雜多樣， 快速變動；員工私搭服務、亂建系統， 或未按規定開啟服務或埠；事件通報、處置、回饋週期長且資訊缺失；

技術方面：

無法事前或事中快速對存在風險的資產進行精准定位， 掌握風險態勢；傳統逐項驗證的漏洞掃描模式， 時間耗費長， 無法應對當今駭客單漏洞盲打的攻擊方式；現有的基於軟體終端的違規外聯檢測工具， 無法覆蓋種類繁多的網路設備， 漏報率高；

為應對以上問題，

公安部第一研究所聯合北京白帽匯科技有限公司， 以“網路空間測繪 即時風險預警”為目標， 將於5月下旬共同推出“網探D01·下一代掃描器（NGScanner）”。

該設備具有四大主要功能：

資產測繪：依託5500餘種規則， 有效測繪包括IP、資產名稱、開放埠、通信協定、作業系統、設備類型、所屬廠商、應用元件等資訊， 形成資產資訊庫；資產管理：支援可擴展的標籤化管理， 將資產資訊進行分類整理， 通過視覺化的方式實現資產分類、統計與報表輸出， 並可進行靈活的組合查詢、快速定位資產；風險評估：通過輪詢資產指紋， 維護存活資產庫， 當風險發生時， 以最新漏洞POC、風險特徵等規則進行專項驗證， 可精准描繪漏洞風險影響面， 縮短驗證週期；違規外聯預警：通過流量監測， 自動發現內網環境下連通互聯網的風險設備點， 上報設備資訊， 及時預警。

通過以上功能， 幫助企業建立健全資產管理的合規性流程， 監控資產設備使用是否規範；通過對違規外聯資產的檢測， 發現企業內部的違規性行為；領先的全網埠掃描， 解決防火牆誤報問題， 只入庫存活資產；精准推送資產漏洞POC並結合特製漏洞專掃、弱口令專掃等， 發現企業的脆弱性資產；實現企業網路資產合規性、違規性、存活性、脆弱性的綜合檢測與評估。 同樣的， 該設備也適用於互聯網中安全監管部門， 方便其對本地重要資訊系統資產、物聯網設備資產等瞭解和掌控。

公安部第一研究所 資訊安全部

方便其對本地重要資訊系統資產、物聯網設備資產等瞭解和掌控。

公安部第一研究所 資訊安全部