学习笔记

1、藏宝图计划

  1. 网络整体态势感知
  2. 通用作战图,同步作战情报
  3. 网络攻击前的行动规划与环境准备
  4. 网络攻击前的侦察和信息收集

2、网络空间测绘的必要性

  1. IoT设备大范围联网,全球联网设备预计将超越千亿部
  2. 未来网络结构到底是什么样的,如何刻画?
  3. 如何发现全球联网设备,并评估他们的安全性?
  4. 如何打通虚拟网络与现实世界的关联?

3、网络空间测绘的相关概念

资源探测

空间测绘始于资产探测,而资产探测的核心目前阶段仍在于应用指纹的积累

Nmap之所以能流行,是因为提供了庞大的指纹库,包括一万多种常见的网络资产设备的指纹,其中包含了许多服务和应用。但是Nmap指纹库比较混乱,且它实现的扫描库在大规模扫描场景下效率低下,无法一次性识别单个端口的多个应用(例如一个网站使用很多前端的框架和后端的框架,一个网站的Web容器是一个Tomcat,nmap只会识别出使用了Tomcat而识别不出它上面是用了什么框架),无法提取和分析ssl证书,无法提取和分析响应

指纹

如果要去做自己的指纹识别引擎,首先要了解什么是指纹,如何去获取指纹。

指纹:在端口响应数据中,能够标识某一类产品应用的特征

最容易想到的就是找一些响应数据中的关键字,采用正则表达式去匹配,这样的方式比较简单,但是在使用过程中会遇到各种各样的问题。因此,人们开始想如何在空间测绘过程中去自动生成一些指纹,能不能智能推荐出一些指纹来使用:

  1. Html Dom树指纹
  2. JavaScript函数
  3. Http Header舒徐
  4. favicon_hash
  5. ………

指纹识别引擎

  • 应用业务层:WordPress
  • 中间支持层:K8s、JBoss、WebLogic
  • 服务协议层:Http、Telnet、RDP
  • 操作系统层:Windows、Linux、MacOS
  • 硬件设备层:路由器、防火墙、摄像头

做到同一端口的不同层级的真实情况,可以提取和分析ssl证书,可以扫描某个厂商的产品在各个地区的使用情况。

网络空间地图

  1. 人员实体层
  2. 网络实体层
  3. 逻辑网络层
  4. 物理链路层
  5. 地理位置层

目前各大厂商主要研究网络实体层和逻辑网络层。将来可以向上和向下延申,将网络空间与物理空间关联起来。

4、网络空间测绘与漏洞生命周期结合

  1. 漏洞事件爆发
  2. 分析预警通告
  3. 应急处理方案
  4. 全网空间测绘
  5. 快速定位影响
  6. 通报处置资产

5、攻击者眼中的网络空间测绘

  1. 攻防体系不对称
  2. 技术层面,防御通常比攻击慢半拍
  3. 信息不对称,攻击者对信息了解比安全人员有优势
  4. 攻击者是点,防御者需要防御一个面

产生过的疑问

  1. 如何写一个扫描器?
  2. 如何收集指纹指纹?