资源描述
资产发现与管理系统介绍Asset Exploration and Management资产发现与管理系统介绍AssetExploration1目录客户痛点产品介绍产品价值现有手段目录客户痛点产品介绍产品价值现有手段2工信部指导意见工信部关于加强电信和互联网行业网络安全工作的指导意见中明确指出:深化网络基础设施和业务系统安全防护,加强网络和信息资产管理,全面梳理关键设备列表,明确每个网络、系统和关键设备的网络安全责任部门和责任人。工信部指导意见工信部关于加强电信和互联网行业网3集团规范要求实现统一数据格式,强化安全基本信息管理能力,并逐步具备自动发现新增和退网、自动更新属性等自动化功能。全面推进网络安全漏洞/隐患与网络设施安全基本信息的关联、与外网IP地址相关联、与设备版本管理相结合。集团规范要求实现统一数据格式,强化安全基本信息管理能力,并逐4客户痛点-互联网暴露资产安全形势,依旧严峻l随着“互联网+”的深入,针对互联网的攻击手段日趋多样化,安全威胁边界不断扩展,DDoS、僵木蠕等传统威胁有增无减,APT等新型攻击愈演愈烈。安全管理,存在盲区l尽管安全风险排查力度不断增加,但尚未掌握暴露在互联网上的全量资产信息,安全巡检覆盖的盲点仍然很多,大量安全漏洞一直潜伏在系统中l资产上运行的软件种类多,版本不一,在出现安全风险时,排查整改不彻底,同类问题反复出现,使得安全管理比较被动外部通报,名誉受损l“家丑不可外扬”,内部威胁可内部消化,但大量未掌握的,暴露在互联网上的资产漏洞及其被攻击事件被CNCERT和CNVD等第三方机构向社会公众通报,使企业面临重大的信誉危机客户痛点-互联网暴露资产安全形势,依旧严峻随着“互联网+”的5当前现状资产散列管理运维人员各自进行资产梳理,使用手工方式或文档管理,编外资产无主资产责任不清缺乏有效的资产关联性预知缺乏对设备、资产间通信方式,端口访问等业务掌握度,对突发安全事件关联影响度掌握不充分,缺乏应急响应信心依赖人工对比资产采集和自动发现能力偏弱,需要定期扫描和繁琐的人工比对,缺乏自动化手段且容易出错,维护效率低下且准确性不高资产更新效率低下设备版本、安装的操作系统、组件掌握程度不高,资产设备属性变更信息掌握不及时1234亟需多种手段结合的、自动化和智能化的资产全生命周期管理解决方案当前现状资产散列管理运维人员各自进行资产梳理,使用手工方式或6产品整体架构公网情报采集器情报信息资产采集器确认响应告警SOC平台态势感知网管系统agentagentagent离线脚本产品整体架构公网情报采集器情报信息资产采集器确认响应告警SO7产品流程介绍生成报告生成报告主动探测被动监听信息补全(可选)深度扫描主动探测:探测网络上的主机,主动的端口探测扫描,硬件特效及版本信息被动监听:采集或镜像NetFlow、NetStream、jfow、ipfix等协议监听网络上的主机及开发的端口信息补全(可选):可选填,主要补全设备的用户登录信息,为深度扫描提供权限深度扫描:通过扫描补全资产属性,分为通用属性和特有属性。资产归档:对发现后的资产进行归档管理,形成持久化管理。资产归档产品采用分布式组件化设计,主动被动相结合,主动探测主要用于对未知网络下的发现探测,被动扫描主要用于7*24小时持续性的监听已知网络下的未发现资产,并通过信息补全和深度扫描等方式完成资产属性的补全,最终实现未知资产的发现与管理。产品流程介绍生成报告主动探测被动监听信息补全(可选)深度扫描8主动嗅探与被动监听主主动嗅探主机探测:探测网络上的主机例如列出响应TCP和ICMP请求、icmp请求、开放特别端口的主机。端口扫描:探测目标主机所开放的端口。版本检测:探测目标主机的网络服务,判断其服务名称及版本号。系统检测:探测目标主机的操作系统及网络设备的硬件特性。主动嗅探被被动监听(听(7*24流量持流量持续监听)听)通过采集或镜像NetFlow、NetStream、jfow、ipfix等协议监听网络上的主机及开发的端口。被动监听主被动结合,7*24感知未知资产,实时对比资产库,同时两者可以是并存关系,也可以是叠加关系。主动嗅探与被动监听主动嗅探主动嗅探被动监听(7*24流量持续9被动监听常用的*Flow分析协议CiscoNetflowv1,v5,v7,v8,v9JunipercFlowv5v8Foundry,HP,Alcatel,NEC,ExtremeSFlowv4,v5HuaweiNetStreamv5,v8,v9RFC3917IPFIXFlow数据由网络设备输出,Flow数据类似于我们的手机话费清单,告诉我们每次会话发生的关键信息(不含通话具体内容),也就是手机通话行为中的被叫号码、被叫时间、持续时间等。Flow数据可广泛的用于网络分析和流量分析。被动监听常用的*Flow分析协议Flow数据由网络设10主被动结合的大规范发现能力主被动结合的大规范发现能力11信息补全设施名称:可发现,可自动填充,支持编辑设施等级:不可发现,根据工信部对设施进行定级,例如3.1、3.2。所属业务系统:不可发现,可定义IP地址字典来匹配,并支持重新指定所属安全域:不可发现。所属地域:不可发现。设施所处物理位置:不可发现。所属单位:不可发现,如安徽电信。所属部门:不可发现,设施所属的部门,如网运部。所属专业:不可发现,设施所属的专业,如网络安全。设施类别:可发现,支持用户指定,上述六大类中的一类,如主机、网络设备、安全设备等。主识别IP:可发现公网IP:可发现私网IP:可发现,支持用户指定浮动IP:可发现,支持用户指定日志采集方式:不可发现,不需要填充,可通过深度扫描填充,syslog,SNMPTrap等。设施远程维护登录方式:不可发现,不需要填充,可通过深度扫描填充SSH、TELNET、WEB等。操作系统类型:可发现如Windows、Linux、Unix、VMWareESXiServer、KVM等。通用属性:设备共有的属性信息补全设施名称:可发现,可自动填充,支持编辑通用属性12主机:防病毒属性:是否已经安装了防病毒软件,及软件版本。补丁属性:已经安装的补丁版本。承载业务:主机的用途,如DNS业务。漏洞属性:主机系统的漏洞,如CVE-XXXX。日志属性:采集日志是否正常实施。账号口令策略:对账号口令的配置的强制性要求。主机端口:开放的服务端口列表。启动项配置:主机自动启动项的相关配置情况,用于检查主机启动项的完整性。进程列表:主机上的活动进程列表。操作系统配置:主机中操作系统配置情况,用于检查主机操作系统完整性。路由器/交换机:设施状态:设施是正常运行还是宕机状态。补丁属性:已经安装的补丁版本。接口状态:各个接口是up还是down。漏洞属性:主机系统的漏洞,如CVE-XXXX。日志属性:采集日志是否正常设施。账号口令策略:对账号口令的配置的强制性要求。配置变更:在什么时间修改过配置。特有属性:不同类别的设施有自己特有的安全属性。负载均衡:虚拟IP:负载均衡交换机提供服务的虚拟IP。设施状态:设施是正常运行还是宕机状态。补丁属性:已经安装的补丁版本。接口状态:各个接口是up还是down。漏洞属性:主机系统的漏洞,如CVE-XXXX。日志属性:采集日志是否正常设施。账号口令策略:对账号口令的配置的强制性要求。配置变更:在什么时间修改过配置。安全设备:设施状态:设施是正常运行还是宕机状态。接口状态:接口是UP还是down。日志属性:采集日志是否正常设施。端口信息:设施开放的端口列表。流量信息:设施采集流量信息是否正常。主机:路由器/交换机:特有属性:不同类别的设施有自己特有的13虚拟机:所属主机列表:虚拟机所属的物理主机或者集群。所属虚拟机系统平台:如VMWareESXiServer。防病毒属性:虚拟机是否已经安装了防病毒软件,及防病毒软件版本。补丁属性:已经安装的补丁版本。承载业务:虚拟机的用途,如DNS业务。漏洞属性:虚拟机操作系统的漏洞,如CVE-XXXX。日志属性:采集日志是否正常账号口令策略:本虚拟机对账号口令的配置的强制性要求,或者是vCenter,openstack的统一账号管理等策略。开放端口:虚拟机开放的服务端口列表。启动项配置:主机自动启动项的相关配置情况,用于检查主机启动项的完整性。进程列表:虚拟机的活动进程列表。操作系统配置:虚拟机中操作系统配置情况,用于检查主机操作系统完整性。应用系统:所属主机列表:应用系统所属的物理主机数据库类型:安全设施的数据库类型,如:Oracle,SQLServer等。数据库版本:安全设施的数据库版本,如Oracle11g。中间件类型:安全设施的中间件类型,如:JBOSS等。中间件版本:安全设施的中间件版本,如:JBOSS6.0。应用类型:应用软件类型,如:DNS、3A认证系统等。应用版本:应用系统的版本,如:BINDDNS9.1。安全信息:业务系统采集的与安全相关的信息,例如网管系统采集到的与安全相关的信息。特有属性:不同类别的设施有自己特有的安全属性。虚拟机:应用系统:特有属性:不同类别的设施有自己特有的安14Agent模式1、安装Agent代理,支持windowsLinuxAixSolarisHP-ux2、代理自动注册到管理中心,结果自动上传3、随时或定时启动资产属性更新任务4、分布式采集部署技术实现Agent模式1、安装Agent代理,支持windowsL15离线脚本场景:对于不能已经在网或不能安装agent的设备可选择离线脚本方式采集设备属性1、产品中心下载离线脚本3、到目标设备上运行,生成结果文件(xml文件)4、将结果导入会产品,完成资产属性补全技术实现离线脚本场景:对于不能已经在网或不能安装agent的设备可选16补全属性补全属性17支持7大类50余种设备,自动采集上报仍在不断补充完善AEM操作系统路由/交换数据库防火墙中间件其他RedhatAIXHP-UXWindowsSolarisCiscoHuaweiH3CJuniperAlcatelOracle SybaseInformix高可用设备SQLServerIISApacheDB2WebSphere安全设备CiscoWeblogic存储设备HuaweiFortigateJuniperTomcat虚拟设备WlanAC/AP管理能力天融信WAF支持7大类50余种设备,自动采集上报AEM操作系统路由/交换18深度扫描19系统服务文件权限用户帐号口令策略认证授权网络通信日志审计网络设备主机数据库中间件应用安全设备深度扫描19系统服务文件权限用户帐号口令策略认证授权网络通信资产归档属性自定义建模:系统自带符合要求的属性池,满足任意资产属性管理资产归档属性自定义建模:系统自带符合要求的属性池,满足任意资20资产归档资产归档流程归档资产库发现资产库发现区域主动嗅探引擎IP缓存/指纹适配被动监听引擎扫描引擎发现资产库保存已经发现的IP,更新IP缓存缓存用于主动嗅探和被动监听进行对比发现资产库到归档资产库的过程需要人工参与进行确认资产指纹库资产归档资产归档流程归档发现发现区域主动嗅探引擎IP缓存/被21资产指纹库开放的端口信息各厂商设备特定端口端口指端口指纹纹OS指纹指纹Web指指纹纹系统名称设备类型厂商信息操作系统版本信息HTML信息HEADER信息URL信息FILE信息识别指纹库资产指纹库开放的端口信息端口指纹OS指纹Web指纹系统名22资产指纹库1、先从指纹提取工具中扫描目标设备2、从扫描结果中获得端口特征&OS特征,如下图3、新打开一个页面点击指纹管理,点击添加,进行指纹配置资产指纹库1、先从指纹提取工具中扫描目标设备3、新打开一个页23资产指纹库添加端口信息指纹库匹配规则:多条端口信息匹配规则:与端口与OS信息匹配规则:与也可以仅填写端口信息(单条或多条)或仅填写单条OS信息对服务厂商、服务版本、服务指纹、os名称等字段部分匹配。资产指纹库添加端口信息指纹库匹配规则:24资产流程管理资产入围资产监视资产变更资产退网IP自动发现指纹自动识别数据同步资产流量监视端口状态统计协议状态统计资产活跃状态监视资产访问行为监视OS变更发现中间件变更发现数据库变更发现MAC变更发现责任人变更用途变更资产宕机发现数据同步资产流程管理资产入围资产监视资产变更资产退网IP自动发现资产25总体框架图资产层采集层主动嗅探引擎流量采集引擎分析层脆弱性表资产指纹库发现资产库存储层归档资产库深度扫描引擎策略层深度扫描策略指纹识别策略流量监听策略主动嗅探策略应用层资产管理报表管理策略管理脆弱性实时展示资产监视指纹管理接口管理外部资产管理系统*Flow采集网管/安管系统IP缓存/指纹适配总体框架图资产层采集层主动嗅探引擎流量采集引擎分析层脆弱性表26核心功能资产管理资产发现管理资产类型管理属性及自定义资产域管理资产字典管理探测发现主动嗅探被动监听属性补全深度扫描实时监视资产报告资产分类报告资产存活报告僵尸资产报告无主资产报告威胁资产报告暴露分析资产漏洞分析资产配置分析资产合规分析核心功能资产管理资产发现管理探测发现主动嗅探资产报告资产分类27产品截图产品截图28产品截图发现时间排序发现重复资产资产属性合并资产属性画像产品截图发现时间排序发现重复资产资产属性合并资产属性画像29产品截图漏洞导入与漏扫驱动产品截图漏洞导入与漏扫驱动30产品截图产品截图31产品截图产品截图32产品价值感知资产,梳理企业资产,发现无主设备企业漏洞快速定位、整改和跟踪资产及设备维保下线提醒提升资产及设备利用率/利旧率资产分权分域管理,全程监控,追责管理产品价值感知资产,梳理企业资产,发现无主设备企业漏洞快速定位33功能特点资产全生命周期的流程管理强大的主被动发现能力持续性的流量识别和分析能力具备深度扫描的暴露面分析能力旁路部署对用户网络和业务系统无影响功能特点资产全生命周期的流程管理强大的主被动发现能力持34客户价值资产管理管理资产发现暴露分析分析深度深度扫描描l资产漏洞生命周期管理l资产关键配置监测l资产持续监控l直观了解资产运行状况l未知资产自动发现l无主资产归档管理l资产属性建模l资产漏洞分析l资产配置分析l资产合规分析l资产全生命周期管理l已知资产指纹识别l资产变更自动发现l资产迁移割接发现l提升利用率/利旧率客户价值资产管理资产发现暴露分析深度扫描资产漏洞生命周期管理35谢谢!欢迎莅临启明星辰大厦参观指导谢谢!欢迎莅临启明星辰大厦参观指导36
展开阅读全文