泛空间测绘——助甲方研判疑似资产V2

 

随着网络技术的不断发展,近年来网络安全事件也逐步升级。从传统IT领域到物联网、暗网等,再到如今的关基行业,不法分子的攻击手段和攻击面越来越广,对社会和国家的危害也越来越严重。
 
5G时代的来临也将推动网络空间“泛化”发展,各种各样的行业、领域都将会对网络空间的安全防护有着严苛的要求。
 
那么网络空间这种“泛化”的发展对于我们来说是机遇还是挑战呢?

img1

一、空间测绘现状

有一句古话说的好,谋定而后动,做好网络安全防护的第一步就是要先做好资产梳理和网络空间测绘。
 
早在2016年,党中央就提出“摸清家底,认清风险,找出漏洞,通报结果,督促整改”战略,近年相关部门、机构也都在大力开展网络空间资产安全治理的工作,同时也逐步颁布一些相关制度和要求。在政策的推动、条例的约束下,大家开始重视网络空间的安全,但是同时我们也面临着许许多多的困难和挑战。
 
第一个难点就是目前测绘厂商和组织安全工作者视角对比的差异:测绘厂商的目标是能够收集到更全、更准的数据以及能够及时发现资产变化的情况,并把这些数据提供给企业或组织。
 
但是相关安全工作者拿到这些海量的资产数据会感到头痛,不知道如何对这些测绘数据进行高效的利用。这些资产数据鱼龙混杂,需要辨别资产的真伪,显然只依靠人工判断是不现实的。
 
安全工作者面临的另一个问题是他们无法获取到未知线索的资产,无法洞察那些躲在“隐秘的角落”里的深海资产。所以我们需要用“泛空间测绘”的手段来解决这一系列令人头痛的问题。

img2

 

 

 二、从泛空间测绘到落地实践

什么是“泛空间测绘”的呢?先来看一下网上对于网络空间测绘的定义:“网络空间测绘是对全球互联网空间上的节点分布情况和网络关系进行探测,构建全球互联网图谱的一种方法。”
 
泛空间测绘是除对了互联网空间上的节点进行测绘外,还进一步对其他互联网上的信息空间进行发掘并和网络空间相碰撞、结合,从而精细化空间测绘的方法。
 
通过“泛空间测绘”,我们能够掌控海内外无备案、无监管的资产;解决分支机构资产难统计的问题,做到主动识别,风险可控;以及能够智能分析海量公网资产情报,鉴别最隐蔽的隐藏资产。
 
让我们再来通过一个例子深入了解下“泛空间测绘”应用落地意义。
 
当你饥肠辘辘的去饭店吃饭,老板给你端上了一盘未加工过的山珍海味食材,这时你肯定会觉得这个老板的脑子“瓦特了”;但是如果老板给你端上的是一盘简单的炒土豆丝,你肯定会立刻拿起筷子狼吞虎咽起来。因为这盘土豆丝对于现在的你来说比那一盘生的山珍海味要更有价值。

 

img3img4

 

泛空间测绘的实际落地价值也是如此,它能够实实在在地帮助企业和组织解决所面临的问题,而不是给一堆山珍海味让你自己去加工烹饪。
 
接下来我就给大家分享一下近年来我们是如何将泛空间测绘落地的。
 
巧妇难为无米之炊,首先肯定是要先有足够多足够全的资产数据原材料。我们近些年通过实践积累的各种数据源和资产种类,我们不仅积累了传统IT资产数据,我们还拓展收集了社交媒体资产数据、情报数据、组织架构、备案信息以及像暗网和代码这类非受控资产的数据,并将这些数据进行关联,提取和企业相关的业务特征,如xx银行-xx生活等。

 

 

当获取到这些海量数据后,我们一般会经通过三层智能清洗的方式进行进一步数据分析。
 
首先是黑数据清洗,以我们曾经服务的某银行为例,资产测绘出的数据中存在大量的博彩相关网站,但这些网站其实本身是相对比较容易清洗的,我们可以通过博彩站点的特征进一步识别这部分资产,从而将这部分资产从测绘结果中分离,这些黑数据主要包含黄赌毒、钓鱼网站、seo优化搜索等内容。
 
将黑数据剔除后我们可以进一步提取测绘结果中的白数据,这部分数据是基本能够确认为真实资产的数据,比如通过域名解析匹配到的网站资产等。白数据的匹配方式包含域名匹配、whois匹配、行业特征匹配等内容。
 
最后也是最困难的部分就是灰资产匹配,这部分资产没有明确的黑产特征,也无法和用户资产直接产生关联,目前我们运用的是权重计算方式来计算是否视为真实资产,权重的维度主要包含icon匹配、标题匹配、证书匹配、版权所属、APP图标、APP开发者证书、社交账号详细信息匹配等方面。
 
即如果我们发现一个网站从标题到证书到版权声明,以及页面icon都能够和企业相匹配,那么这个网站是真实资产的概率将会大幅度提高。
 
通过以上三层清洗,我们就能够较为准确的发现用户的真实资产,目前这个准确率能达到86%左右,同时我们也在通过进一步的特征挖掘和学习来提高整体判断的准确度。

 

img6

 

在整个资产清洗的过程中,特征的识别是最重要内容。俗话说得好,遇事不决,人工智能,我们目前也在尝试使用一些监督学习的方式来对数据进行进一步的挖掘。
 
一般来说我们会首先对资产从多个维度进行聚类,包括指纹聚类、行业聚类、黑数据聚类、白数据聚类等多种类型,聚类是为了判断哪些资产可以进行挖掘分析。然后对聚类得到的资产进行多个维度的特征提取,如行业特征、供应链特征、黑数据特征、白数据特征等内容。同时提取到的特征会再进一步运用于非受控域数据清洗,从而不断提高清洗能力。
 

本套泛资产测绘解决方案的由四个子系统构成,有数据采集中心,任务调度中心,数据处理中心和资产管理系统。其中任务调度中心和数据采集中心共同构成我们的泛测绘中心,泛测绘中心生产出的数据经过数据处理中心清洗模块、特征识别模块、权重计算模块的加工处理后,形成我们最终可消费的资产数据。再经过我们的资产管理系统,结合业务、安全等属性将资产信息进行整合,同时资产管理系统还支持对接第三方系统进行进一步分析、统计和展示,如态势感知系统、安全运营平台、SOAR平台等。

 

 

 

三、网络空间测绘未来发展

我们认为,未来的网络空间测绘会有以下三种发展趋势:广泛化,精细化和智能化。

 

img7

 

广泛化指的是随着网络空间泛化发展,网络空间测绘将会从传统测绘技术转变为泛空间测绘。
 
精细化是指网络空间测绘将会细分出更多测绘维度和角度,比如有行业精细化、归属精细化、供应链精细化以及时间精细化。
 

智能化是指对测绘数据进行清洗加工过程的智能化赋能,即实现特征识别智能化。能够被赋能的步骤有智能聚类判断,智能特征挖掘,构建知识图谱以及机器学习。

 
结语
 

最后我想说的是,随着网络科技不断的发展,我们现在的知识和技术可能在明天就会过时,所以我们应该保持一个永远前进的心态。泛空间测绘也只是一个阶段的方法论,是我们探索路程上的一个拐点,而不是最终点。

 

 

2020年7月24日 11:37
首页    泛空间测绘——助甲方研判疑似资产V2