勤学似春起之苗,不见其增,而日有所长。
做事情要有目的性,但是目的性太强往往又容易受到影响。就比如时不时我会想,写作的目的到底在哪里呢,文笔,或者也许是对自己的一种提高。如果一个事情能坚持几年,就一定会相当了得。
这个季节和温度,看着别人狂刷游玩的朋友圈,而自己看看技术贴,写点东西,却有点自己占到便宜的感觉。。。
稍微上点规模的企业,有了一定的IT资产,比如web应用,服务器等,那么资产治理的意义就显得尤为重要,往往我们做安全工作的第一步就是资产梳理,就是常说的摸清家底。
举几个例子吧:
(1)领导转了一个安全通告,上级监管部门发的,说struts2又有新漏洞了,影响版本为2.5.22以下的版本(相信做安全的朋友都知道struts2的厉害,可以很容易的远程执行代码)。领导来问,我们企业里面有多少个系统使用了struts2这个组件,而这些组件中又有多少是不安全的版本。如果在平时的资产管理工作中,您的所有资产已经梳理清楚,易于可视化呈现,那么你就可以快速的查阅掌握已有资产是否会受到新的漏洞威胁的影响。且可以定向的进行整改跟踪。换句官方语言:可以及时、准确的对网络资产进行风险预警。
(2)领导来问,我们企业里有200多个系统,准确是多少,使用的操作系统分布是怎样的,windows和linux的比例,windows server系统中,还有2003的吗,2008和2012又占比多少,有使用2016的吗,当这些问题抛出来的时候,传统的手工台账很难保证准确,但是资产治理的系统可以自动梳理清楚这些问题,而且实时准确。
(3)领导又来了,领导喜欢看数据,看账本,所以领导问,我们企业里使用了哪几种数据库,对外开放的网站哪些是备案过的,那么多中间件,是不是都安全可靠,这些常用的组件系统,有没有高危漏洞啊。
不要质疑领导,领导肯定是对的,这些问题要在领导问之前就做到心中有数。。。才好。我们还是简单的了解一下怎么样去相对深入浅出的理解资产和指纹吧。
宽泛指纹定义:不同厂商、不同的平台在基于相同标准实现过程中(就是做同样的事情实现同样功能,比如都用来做web发布网站),存在或多或少的差异,这就为我们进行资产类型识别提供了可能。我们将这些差异,称为不同厂商、不同平台、不同类型、不同版本资产的指纹信息。通过积累指纹信息,逐步形成“指纹库”,基于这些指纹信息,我们就可以识别资产的“厂商”、“操作系统”、“操作系统版本”、“资产监听服务类型及其版本”。(比如同样是手机,就有小米,苹果,华为,三星等。而华为又有P30,P40,mate等等,这些区别,比如大小,颜色,内存,配置等都属于指纹信息)
资产指纹库类型:Web资产、操作系统、中间件、数据库、网络设备、安全设备、开发语言,框架、物联网设备、计算机终端、服务器设备、工业控制设备、打印机、摄像头和云服务资源等各种类型,指纹深度可以到具体的版本号和子版本号。
风险问题原因:人是最难管理的,你能保证当初开给某个用户的IP他只做承诺的事情吗,也许他是个技术男,在上面搞其他测试应用,于是可能有一下问题:私自变更设备用途、私自部署软件、私开公网接口。这些他应该不会主动告知网络管理员吧,那么如果有资产识别系统,就会自动收集证据了。
怎么进行指纹识别呢?一般是分为主动探测(高速扫描)和被动探测(流量分析)。识别方式当然一般是根据特定资产的指纹特征进行匹配,为什么是猫不是狗,老虎和狮子区别在哪里等,指纹也是一样,我们在区别的时候可以依据如下要素,我们可以构造一些特殊的扫描请求,然后根据对方的反馈信息进行研判:
- 网页中发现关键字:先访问首页或特定页面,通过正则的方式去匹配某些关键字。
- 特定文件的MD5(主要是静态文件、不一定要是MD5):通过爬取网站的特定图片文件、js文件、CSS等静态文件进行抓取并比对md5值
- 请求头信息的关键字匹配:根据网站response返回头信息进行关键字匹配
- 指定URL的关键字
- 基于TCP/IP请求协议识别服务指纹
(上面这一段,是不是一头雾水,有点专业,可以放弃)
【到这里,应该对资产治理和指纹了解了一个大概齐了吧。】
1329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
