山石岩读丨兵马未动粮草先行资产梳理是安全运营的第一要务

背景

网络攻防形式下，资产不清、资产管理困难以及意识不强导致的安全防御无根基等痛点问题是安全行业的共性顽疾。

资产的梳理及测绘在安全运营工作体系的战略层面和战术层面都起着重要的支撑作用。随着业务需求的不断增长，数字转型深化，资产量级也随之增长，用户某一业务系统所涉及的资产数量可能高达几百甚至上千。目前大部分企业由于管理人员变更和资产维护不到位，在资产方面或多或少存在一定的死角。

不管是针对网络还是业务系统的恶意攻击或者威胁，最终需要和资产进行关联落地，再进行分析、排查等操作。因此在整个安全运营闭环体系中，首先需要摸清家底，对资产进行发现并实现多维度管理，为后续威胁的分析、定位、处置提供基础条件。

主流技术

主动探测

主动向目标资产发送构造数据包，并从返回数据包的相关信息(如各层协议内容、包重传时间等)中提取目标指纹，与指纹进库进行比对，实现对开放端口、操作系统、服务及应用类型的探测。

根据使用的指纹信息类型，主动探测类方法主要分为基于响应协议栈指纹的主动探测方法和基于单包响应时延统计两类。

被动探测

采集目标网络流量，对流量中应用层HTTP\FTP\SMTP等协议数据包中的特殊字段banner\IP、TCP三次握手、DHCP等协议数据包特征进行分析，实现对网络资产被动探测。

指纹特征匹配识别

常规指纹特征匹配包括：ToＧtallength、ID标志、DF分片、TTL生存时间、TCP头可选项，TCP头wsize以及ICMP、UDP协议指纹、SYN-ACK 包重传时延等。

匹配方法，除了最基础精确匹配外，考虑延时、动态配置等现实因素，类似正则表达式模糊匹配方法，如P0fv3指纹库将操作系统指纹分为specified/generic，增加了用于模糊匹配G类，在S类无法精确匹配情况下，为避免直接给出未知结果，对 mss，wsize，scale等字段均允许使用“∗”进行模糊匹配，进而粗略地给出目标操作系统所属的大类；此外，还有采用了综合加权匹配的方法，在计算响应同该条指纹匹配率时，引入各数据项的评分作为加权，从而进一步提高识别的准确率。

基于机器学习的特征匹配：引入朴素贝叶斯分类器进行操作系统指纹识别，实现了对未精确匹配指纹的识别，如利用Nmap指纹库训练的神经网络模型识别操作系统指纹，比Nmap自身识别的准确率要高。

实际效果

山石智源智能安全运营平台基于流量、威胁、日志、弱点等多种源进行资产的多手段发现，亦支持手动导入资产，同时按照资产类型、用途、服务等属性从多个维度进行分类管理，在摸清家底的同时为后续与攻击、弱点、威胁等关联分析提供基础。

资产多维度管理包括区域维度、业务维度、服务器维度、终端维度、用户状态等，细化展示资产所属区域、网段、责任人、业务、服务、系统等详细属性，支持自定义编辑调整。

除了对常规资产的识别外，还支持隐蔽资产的发现，隐蔽资产识别后会放入“未分类资产”类目中，供管理员进行确认。