1、资产发现与管理系统介绍Asset Exploration and Management目录客户痛点产品介绍产品价值现有手段工信部指导意见 工信部关于加强电信和互联网行业网络安全工作的指导意见中明确指出:深化网络基础设施和业务系统安全防护,加强网络和信息资产管理,全面梳理关键设备列表,明确每个网络、系统和关键设备的网络安全责任部门和责任人。集团规范要求实现统一数据格式,强化安全基本信息管理能力,并逐步具备自动发现新增和退网、自动更新属性等自动化功能。全面推进网络安全漏洞/隐患与网络设施安全基本信息的关联、与外网IP地址相关联、与设备版本管理相结合。客户痛点-互联网暴露资产安全形势,依旧严峻l 随
2、着“互联网+”的深入,针对互联网的攻击手段日趋多样化,安全威胁边界不断扩展,DDoS、僵木蠕等传统威胁有增无减,APT等新型攻击愈演愈烈。安全管理,存在盲区l 尽管安全风险排查力度不断增加,但尚未掌握暴露在互联网上的全量资产信息,安全巡检覆盖的盲点仍然很多,大量安全漏洞一直潜伏在系统中l 资产上运行的软件种类多,版本不一,在出现安全风险时,排查整改不彻底,同类问题反复出现,使得安全管理比较被动外部通报,名誉受损l“家丑不可外扬”,内部威胁可内部消化,但大量未掌握的,暴露在互联网上的资产漏洞及其被攻击事件被CNCERT和CNVD等第三方机构向社会公众通报,使企业面临重大的信誉危机当前现状资产散列
3、管理运维人员各自进行资产梳理,使用手工方式或文档管理,编外资产无主资产责任不清缺乏有效的资产关联性预知缺乏对设备、资产间通信方式,端口访问等业务掌握度,对突发安全事件关联影响度掌握不充分,缺乏应急响应信心依赖人工对比资产采集和自动发现能力偏弱,需要定期扫描和繁琐的人工比对,缺乏自动化手段且容易出错,维护效率低下且准确性不高资产更新效率低下设备版本、安装的操作系统、组件掌握程度不高,资产设备属性变更信息掌握不及时1234亟需多种手段结合的、自动化和智能化的资产全生命周期管理解决方案产品整体架构公网情报采集器情报信息资产采集器确认响应告警SOC平台态势感知网管系统agentagentagent离线
4、脚本产品流程介绍生成报告生成报告主动探测被动监听信息补全(可选)深度扫描主动探测:探测网络上的主机,主动的端口探测扫描,硬件特效及版本信息被动监听:采集或镜像NetFlow、NetStream、jfow、ipfix等协议监听网络上的主机及开发的端口信息补全(可选):可选填,主要补全设备的用户登录信息,为深度扫描提供权限深度扫描:通过扫描补全资产属性,分为通用属性和特有属性。资产归档:对发现后的资产进行归档管理,形成持久化管理。资产归档产品采用分布式组件化设计,主动被动相结合,主动探测主要用于对未知网络下的发现探测,被动扫描主要用于7*24小时持续性的监听已知网络下的未发现资产,并通过信息补全和
5、深度扫描等方式完成资产属性的补全,最终实现未知资产的发现与管理。主动嗅探与被动监听主动主动嗅探主机探测:探测网络上的主机 例如列出响应TCP和ICMP请求、icmp请求、开放特别端口的主机。端口扫描:探测目标主机所开放的端口。版本检测:探测目标主机的网络服务,判断其服务名称及版本号。系统检测:探测目标主机的操作系统及网络设备的硬件特性。主动嗅探被动监听(被动监听(7 7*2424流量持续监听)流量持续监听)通过采集或镜像NetFlow、NetStream、jfow、ipfix等协议监听网络上的主机及开发的端口。被动监听主被动结合,7*24感知未知资产,实时对比资产库,同时两者可以是并存关系,也
6、可以是叠加关系。被动监听常用的*Flow分析协议Cisco Netflow v1,v5,v7,v8,v9Juniper cFlow v5 v8Foundry,HP,Alcatel,NEC,Extreme SFlow v4,v5Huawei NetStream v5,v8,v9RFC 3917 IPFIX Flow数据由网络设备输出,Flow数据类似于我们的手机话费清单,告诉我们每次会话发生的关键信息(不含通话具体内容),也就是手机通话行为中的被叫号码、被叫时间、持续时间等。Flow数据可广泛的用于网络分析和流量分析。主被动结合的大规范发现能力信息补全 设施名称:可发现,可自动填充,支持编辑 设
7、施等级:不可发现,根据工信部对设施进行定级,例如3.1、3.2。所属业务系统:不可发现,可定义IP地址字典来匹配,并支持重新指定 所属安全域:不可发现。所属地域:不可发现。设施所处物理位置:不可发现。所属单位:不可发现,如安徽电信。所属部门:不可发现,设施所属的部门,如网运部。所属专业:不可发现,设施所属的专业,如网络安全。设施类别:可发现,支持用户指定,上述六大类中的一类,如主机、网络设备、安全设备等。主识别IP:可发现 公网IP:可发现 私网IP:可发现,支持用户指定 浮动IP:可发现,支持用户指定 日志采集方式:不可发现,不需要填充,可通过深度扫描填充,syslog,SNMP Trap
8、等。设施远程维护登录方式:不可发现,不需要填充,可通过深度扫描填充SSH、TELNET、WEB 等。操作系统类型:可发现如Windows、Linux、Unix、VMWare ESXiServer、KVM 等。通用属性:设备共有的属性主机:防病毒属性:是否已经安装了防病毒软件,及软件版本。补补属性:已经安装的补补版本。承业务:主机的用用,如DNS 业务。漏洞属性:主机系统的漏洞,如CVE-XXXX。日志属性:采集日志是否否正实施。号口口令策:对号口口的配置的强强性要求。主机端口:开放的服务端口列表。动动配置:主机自动动动的相关配置情情,用于检检主机动动的完整性。进程列表:主机上的的动进程列表。操
9、作系统配置:主机中操作系统配置情情,用于检检主机操作系统完整性。路由器/交换机:设施状态:设施是否正运行还是宕机状态。补补属性:已经安装的补补版本。口状态:个口是up 还是down。漏洞属性:主机系统的漏洞,如CVE-XXXX。日志属性:采集日志是否否正设施。号口口令策:对号口口的配置的强强性要求。配置置更:在什时时间修过配置。特有属性:不同类别的设施有自己特有的安全属性。负承均衡:虚IP:负承均衡交换机提供服务的虚IP。设施状态:设施是否正运行还是宕机状态。补补属性:已经安装的补补版本。口状态:个口是up 还是down。漏洞属性:主机系统的漏洞,如CVE-XXXX。日志属性:采集日志是否否正
10、设施。号口口令策:对号口口的配置的强强性要求。配置置更:在什时时间修过配置。安全设备:设施状态:设施是否正运行还是宕机状态。口状态:口是UP 还是down。日志属性:采集日志是否否正设施。端口信息:设施开放的端口列表。流量信息:设施采集流量信息是否否正。虚机:所属主机列表:虚机所属的物理主机或者集群。所属虚机系统平台:如VMWare ESXi Server。防病毒属性:虚机是否已经安装了防病毒软件,及防病毒软件版本。补补属性:已经安装的补补版本。承业务:虚机的用用,如DNS 业务。漏洞属性:虚机操作系统的漏洞,如CVE-XXXX。日志属性:采集日志是否否正号口口令策:本虚机对号口口的配置的强强
11、性要求,或者是vCenter,openstack 的统一号管理等令策。开放端口:虚机开放的服务端口列表。动动配置:主机自动动动的相关配置情情,用于检检主机动动的完整性。进程列表:虚机的的动进程列表。操作系统配置:虚机中操作系统配置情情,用于检检主机操作系统完整性。应用系统:所属主机列表:应用系统所属的物理主机数据库类型:安全设施的数据库类型,如:Oracle,SQL Server等。数据库版本:安全设施的数据库版本,如Oracle 11g。中时件类型:安全设施的中时件类型,如:JBOSS 等。中时件版本:安全设施的中时件版本,如:JBOSS 6.0。应用类型:应用软件类型,如:DNS、3A 认
12、证系统等。应用版本:应用系统的版本,如:BIND DNS 9.1。安全信息:业务系统采集的与安全相关的信息,例如网管系统采集到的与安全相关的信息。特有属性:不同类别的设施有自己特有的安全属性。Agent模式1、安装Agent代理,支持windowsLinuxAixSolarisHP-ux2、代理自动注册到管理中心,结果自动上传3、随时或定时动资产属性更新任务4、分布式采集部署技术实现离线脚本场景:对于不能已经:网或不能安装agent的设备可选择离线脚本方式采集设备属性1、产品中心下承离线脚本3、到目标设备上运行,生成结果文件(xml文件)4、将结果导入会产品,完成资产属性补全技术实现补全属性支
13、持7大类50余种设备,自动采集上报仍在不断补充完善AEM操作系统路由/交换数据库防火墙中间件其他RedhatAIXHP-UXWindowsSolarisCiscoHuaweiH3CJuniperAlcatelOracle SybaseInformix高可用设备SQLServerIISApacheDB2WebSphere安全设备CiscoWeblogic存储设备HuaweiFortigateJuniperTomcat虚拟设备WlanAC/AP管理能力天融信WAF深度扫描19系统服务文件权限用户帐号口口令策认证授权网络通信日志审计网络设备主机数据库中间件应用安全设备资产归档属性自定义建模:系统自带
14、符合要求的属性池,满足任意资产属性管理资产归档资产归档流程归档资产库发现资产库发现区域主动嗅探引擎IP缓存/指纹适配被动监听引擎扫描引擎 发现资产库保存已经发现的IP,更新IP缓存 缓存用于主动嗅探和被动监听进行对比 发现资产库到归档资产库的过程需要人工参与进行确认资产指纹库资产指纹库 开放的端口信息:厂商设备特定端口端口指端口指纹纹OS指纹指纹Web指指纹纹 系统名称 设备类型 厂商信息 操作系统版本信息 HTML信息 HEADER信息 URL信息 FILE信息识别指纹库资产指纹库1、先从指纹提取工具中扫描目标设备2、从扫描结果中获得端口特征&OS特征,如下图3、新打开一个页面点击指纹管理,
15、点击添加,进行指纹配置资产指纹库添加端口信息指纹库匹配规则:多条端口信息匹配规则:与 端口与OS信息匹配规则:与 也可以仅填写端口信息(单条或多条)或 仅填写单条OS信息 对服务厂商、服务版本、服务指纹、os名称等字段部分匹配。资产流程管理资产入围资产监视资产置更资产退网 IP自动发现 指纹自动识别 数据同步 资产流量监视 端口状态统计 协议状态统计 资产活跃状态监视 资产访问行为监视 OS变更发现 中间件变更发现 数据库变更发现 MAC变更发现 责任人变更 用途变更 资产宕机发现 数据同步总体框架图资产层采集层主动嗅探引擎流量采集引擎分析层脆弱性表资产指纹库发现资产库存储层归档资产库深度扫描
16、引擎策略层深度扫描策略指纹识别策略流量监听策略主动嗅探策略应用层资产管理报表管理策略管理脆弱性实时展示资产监视指纹管理接口管理外部资产管理系统*Flow采集网管/安管系统IP缓存/指纹适配核心功能资产管理 资产发现管理 资产类型管理 属性及自定义 资产域管理 资产字典管理探测发现 主动嗅探 被动监听 属性补全 深度扫描 实时监视资产报告 资产分类报告 资产存活报告 僵尸资产报告 无主资产报告 威胁资产报告暴露分析 资产漏洞分析 资产配置分析 资产合规分析产品截图产品截图发现时时排序发现重复资产资产属性合并资产属性画像产品截图漏洞导入与漏扫驱动产品截图产品截图产品价值感知资产,梳理企业资产,发现
17、无主设备企业漏洞快速定位、整修和跟踪资产及设备维保下线提醒提升资产及设备利用率/利旧率资产分权分域管理,全程监控,追责管理功能特点 资产全生命周期的流程管理 强大的主被动发现能力 持续性的流量识别和分析能力 具备深度扫描的暴露面分析能力 旁路部署对用户网络和业务系统无影响客户价值资产资产管理管理资产资产发现发现暴露分析分析深度深度扫描扫描l 资产漏洞生命周期管理l 资产关键配置监测l 资产持续监控l 直观了解资产运行状况l 未知资产自动发现l 无主资产归档管理l 资产属性建模l 资产漏洞分析l 资产配置分析l 资产合规分析l 资产全生命周期管理l 已知资产指纹识别l 资产变更自动发现l 资产迁移割接发现l 提升利用率/利旧率谢谢!欢迎莅临启明星辰大厦参观指导
