本文作者:阿里安全 安全专家 郑虔
2020年中,一名白帽子在GitHub上发现了某新能源车企的一个后台系统所使用的凭据,该凭据简单使用了Base64加密。虽然该凭据并不能直接登录对应的后台系统,但是白帽子通过掌握到的API列表,成功找到几个没有鉴权的接口,通过这些接口,可以批量获取后台数据。
这次潜在危机本应该敲响警钟,但是2020年8月,该车企又遇到了同类安全事件。车主爆料,自己的车辆管控APP上竟然出现了几辆别人的车。虽然车主反馈给车企之后,车企默默修复了该问题。白帽子们通过分析,一致认为该问题又是一起典型的接口缺少鉴权的漏洞。
随着云服务的兴起,传统的企业架构形成了当前比较常见的云+本地的混合部署形态,网络架构也朝混合部署转变,传统的安全防御已不足以应对混合部署下的威胁。
攻防的本质是信息不对称,而漏洞的本质是数据出入口缺少有效控制。在当前的混合部署形势下,“我知道我的企业资产有哪些出入口有问题”就显得极为重要。
这个问题该如何解决,各个企业都有自己的探索与实践。不过在阿里安全看来,问题的根本是企业无法实时掌握自己的资产,尤其是混部结构下的资产。就是我“不知道”我有这些接口,或者我“不知道”这些接口存在安全问题。
当然,知道了我有哪些出入口,还远远不够,当评估业务风险时,又会发现一堆问题都没有得到答案:
风险有多大?影响面是多少?
现在的防护策略覆盖了多少?
如何判断策略是否有效?
是否还有遗漏在外的资产?
还有多少可提升的空间?
这一系列问题需要用具体的安全数据来回答,但是现实情况一点都不乐观。
不同类型的资产数据散落在各条业务线,一是很难搜集整合,一是很难理解消化,同时很难进行整体沉淀经验,不同业务线之间很难复用彼此的业务结果。
我们在期待这样的“天使同事”,她手里有我需要的所有“资产数据”,已经帮我把数据都关联解析完毕,还能根据自己支撑的业务场景,对数据进行了沉淀与打标,你可以完全复用她的方法论,不但可以直接用,还可以根据需要自由组合。
“资产蓝图”就致力于成为这样的“天使同事”。
2020年3月,阿里巴巴发布了数字基建新一代安全架构。在新的安全架构下,我们重新思考安全防御该如何走的时候,急需一个能用数据说明的可量化驱动系统提供数据输入。这个系统最大的目标就是用数据驱动安全防御走向,这就是蓝图诞生的背景。
蓝图是一个资产采集系统,专注于梳理、盘点、管理大型企业内网资产,可用于发现企业内网的各类基础资产信息、资产指纹、资产间的数据流动血缘;并提供了多维度标签的资产清单,发布成为标签资产目录,以满足业务提出的各类分析应用需求的快速搭建,让资产流动起来,利用起来,让数据从业务中而来,最终为业务所用。
“蓝图”的建设目前经历了四个阶段:
第一阶段,基础资产盘点,需要盘点清楚资产范围、状态、安全防控情况,并了解企业内部的主机、应用、存储、中间件、供应链、源代码、权限等等相关资源。
第二阶段,关联资产盘点,需要盘点不同类节点资产之间的访问关系、关联关系。
第三阶段,血缘资产盘点,需要分析数据在南北向(网络边界从外到内)、东西向(跨应用资源、跨节点访问)的流动路径,画出资产间的边界范围和链路血缘流动关系。
第四阶段,标签资产盘点,在资产数据支撑业务需求后,沉淀有针对性的数据标签,最大化价值。
蓝图选择这种阶梯型的发展计划,原因之一是每个阶段互相支持,但每个阶段的成果都是相对独立可交付使用的。优势是,随着每个阶段的建设完成,可以快速交付每个阶段的成果,让业务快速使用,比如在“基础资产”盘点阶段,主机与应用都可以快速交付给业务进行资产盘点。完成基础资产盘点后,建立主机与应用、域名、负责人的关联关系,可以快速进行安全应急响应、溯源定位。而整个资产大盘可以让业务方清晰地看到现在的资产全貌,甚至通过大盘看到现在安全水位、资产管理水位以及对应的风险。
血缘资产盘点则是整个系统价值的放大器。如果说前面两个节点都是后勤支援,那第三个阶段之后,蓝图就同前线安全团队,站到了一个战壕里,可以直接输出数字化“弹药”。一旦发现攻击行为,根据被攻击的IP地址,安全人员可以快速定位可能受到该服务器影响的一级、二级影响范围,并根据一、二级影响机器对应的应用等级,快速评估攻击风险。
蓝图的内部发展虽然可谓是一帆风顺,占据了“天时、地利、人和”,但是在实际发展中仍然面临了巨大的挑战。
挑战一:“能用”
没有人事先能知道业务都需要哪些资产数据。
业务方需要盘点资产时,大多数情况下所需要的资产数据多且杂,不仅包括了已经明确的资产范围,甚至还要有供应链关系、特殊的中间件、小众的代码框架等。没有数据就意味着,无法对业务方进行有效的支撑。蓝图除了需要有一个标准化的资产数据输出流程(数据自助申请、接口或视图输出资产数据),来满足大多数业务的需求之外,还需要一个定制需求的入口,对于业务方自己都没有明确的资产数据需求的情况,需要跟业务方做详细的沟通,与业务一起理解所需的资产数据。
最后,蓝图再寻找并引入或者生产出业务方所需要的资产数据,在这个过程中,一方面满足了业务的需求,一方面也补全了蓝图自身的资产数据缺口。
挑战二:“敢用”
没有准召的数据就没有价值。
其实,很多公司都做过资产盘点,但大多都没有“做起来”。究其根源,是资产数据没有“准召”(准确和召回),或者上游资产没有准召,导致下游业务无法稳定使用。
蓝图提供的解法是,投入适当的资源到准召建设中去。依托自身资产数据检查经验,沉淀出具备蓝图特色的可配置化的自动化准召检查系统,利用该系统,完成如下的检查与准召:
质量基础监控,主要包括完整性、准确性、一致性、及时性的规则配置沉淀及监控告警处置,其中规则分为通用性规则及自定义规则。
多源头交叉验证,实现多个来源与资产数据&链路数据的对比校验、准召值计算、异常数据监控告警处置,支持自定义SQL以满足运营多样化的交叉验证需求。
benchmark样本库,支持资产&链路的样本沉淀及使用,支持基于样本库的交叉验证、扫描验证。
人工验证流程。在无法进行自动化验证的事物上,投入外包资源,抽取一定数量的样本,进行人工准召验证。
挑战三:“好用”
资产数据的价值不是罗列而是加工。
即便有了全面的资产数据,且每一份资产数据都能有准召,如果只是简单的罗列,那这种盘点结果也没有太高的价值。资产盘点的价值一定是在关联、加工的结果中体现的。
蓝图显然不会给自己定位成简单的资产数据堆砌平台,但是怎么实现1+1>2的放大效果,一直是资产盘点领域的难题。蓝图的入口是血缘数据。
通过自建血缘链路的代码分析能力,完成应用代码的自动化分析,提取应用中的接口调用、中间件使用、DB使用等等信息,再结合流量、应用等信息,生成调用链路与数据链路数据,不但解决南北向的边界信息流向路径描画,还完善了东西向应用间信息走向路径。
再结合在线信息、离线信息、以及在离线信息之间的血缘分析,生成血缘数据,掌握DB内数据的流动路径。
最后,应用数据链路/调用链路,加上数据血缘数据,真正实现了从接口到数据库的全向数据流动路径分析。
数据的价值体现大部分都在于第二个用户。
蓝图在服务业务方的同时,积极沉淀业务实际使用需求与经验,在标准化基础数据的基础上,建设具有业务属性的资产标签,复用多方业务效果,最大化业务治理的价值。
如在服务于内容安全风险业务场景时,蓝图从技术层面打标具有内容增改逻辑的接口,再结合业务具体使用情况,对接口进行标记。蓝图再结合改进后的逻辑,给其他的接口进行打标。在另外一个项目中,这批具备标签的内容增改接口,可以直接作为既定接口范围,根据业务需要,重点做二次筛选即可,不但做到业务价值最大化复用,也真正做到取自业务用于业务。
蓝图通过四个阶段的发展,依托海量资产数据,建立混合云架构下的资产盘点系统,协助业务方利用资产数据完成资产盘点、风险识别等等各种业务需求,然后提供标准化的资产使用方案,给业务方提供可靠、便捷的高效使用通道。
最终,阿里安全希望,通过客观资产盘点,驱动阿里安全的建设,就如同人体静脉图一样,蓝图通过清晰地资产盘点,能够主动发现风险问题,并成为帮助各安全单位进行有效安全运营的手段。[来源:嘶吼网]
对于外发给客户(第三方)的文件,可控制对方的打开时间和次数等限制!同时可设置对员工电脑文件自动备份,防止恶意删除造成企业数据的遗失!从源头防控企业数据安全!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...