中国信息安全测评中心发布的最新版《全球高级持续性威胁(APT)态势报告》中指出,针对我国的APT攻击持续上升,在主要攻击目标机构的分布占比中,政府、军事机构、金融、知名企业、能源行业位列前五,占比高达89%。关基单位仍是APT重要目标,并在未来有更明显趋势,将成为网络空间与物理社会相互影响的最为直接的体现。

　　2023年5月1日《关键信息基础设施安全保护要求》正式实施。面对以网络攻击、丧失功能、数据泄漏等为目的的关基风险,关基保护单位要做到关键业务连续运行及其重要数据不受破坏。

　　全面理清关键信息基础设施

　　是一切安全防护的基础

　　随着数字化转型不断深化,关基保护对象已不再是单一维度的可量化资产,而是动静结合、关联复杂、边界模糊、维度多样的资产集。企业安全中的漏洞管理正在向攻击面管理发展,要做好攻击面管理,关键信息基础设施的分析识别与管理是基础,决定了关基安全防护建设的成败。

　　关基单位资产识别范围

　　目前,随着企业资产边界不断扩大,物理资产、虚拟资产、云上资产等快速扩充让安全运营人员对资产的感知与变更越来越困难。当前的关基资产识别分析能力,仍以主动干扰式的扫描探测为主,此种方式有一定的局限性,具体表现在:

　　1、对于正处于静默状态的资产、不在端口列表中的非标准端口服务资产无法及时发现,会出现漏扫情况;

　　2、当资产较多,扫描中产生的大量数据包会降低网络性能,对业务造成影响;

　　3、主动扫描容易被安全措施阻断,导致重要资产漏扫情况发生;

　　4、在工业网络中,会对实时控制系统造成干扰,导致生产过程异常甚至停止。

　　不仅如此,庞大的暴露面因隐蔽传输、未知开放端口、错误配置等原因而无法有效收敛,网络的复杂性又导致攻击发生后难以还原入侵路径,监测存在滞后性。这些都会影响对风险的评估结果和资产管理。

　　解决上述问题,科来利用被动流量识别的方式,提供主动资产与业务分析识别,主动监测预警与防御,为关基安全保护提供价值。

　　构建关基资产数字化全息地图

　　对自身资产掌握越清晰、越详细,对暴露面的收敛效果越好。关键信息基础设施的业务识别、资产识别、风险识别和重大变更的感知,是后续安全防护、监测预警、主动防御等的基础能力。

　　【真实案例:某能源行业关基单位资产识别】

　　某重要能源关基单位进行资产梳理,通过被动流量资产识别方式发现一个流量极小的业务资产,在查看其资产端口流量趋势图后发现其开放80端口,疑似存在隐秘外联行为。

　　通过查询该资产的关联流量,在连续几天内被同网段境外IP访问,与资产间存在的http请求及加密数据通信,境外IP有恶意行为。随后资产管理人员对该资产纳入长期观察目标,避免该单位因此可能带来的安全问题和数据泄露、业务中断等风险。

　　面向关基业务和资产识别,科来支持1000种以上协议识别,3000种以上应用及42类应用类型的实时识别,并支持从流量中实时解析并还原流量元数据。自动化的全量资产实时发现和识别,解决资产发现难、感知难的问题,可视化的资产识别依据,让用户清晰掌握资产属性。

　　科来进一步对业务和资产形成全景可视化画像,即在网络底层刻画网络实体的通信特性,在网络顶层刻画网络实体的业务行为。对登记的所有资产的网络通讯行为、威胁信息、组件信息、硬件信息等进行综合展示,亦可对任意资产通讯全景进行可视化展示和分析,对资产通讯行为进行标签化描述。

　　对于业务和资产的风险识别和重大变更,科来对风险资产数量及趋势进行可视化监控,综合展示威胁事件类型、攻击手法类型,进行下钻分析、取证和快速处置,在历史观察、追踪、累积之上构建行为基线,对资产行为进行合规性检测,从而发现资产的异常行为,形成预警,防止异常行为导致的数据泄露及内部泄密操作行为的发生。