继陆、海、空、天之后，网络空间被视为第五疆域，成为各国博弈的新战场。近年来，网络安全事件频发，对国家、企事业单位及个人的信息安全造成巨大威胁。

但是在各级单位中，网络空间安全往往没有受到足够重视，一方面是部分人员网络安全意识淡薄，另一方面网络安全工作可见性不高，很难评估投入产出效能。

因此工作抓手非常关键，如果能够对网络空间资产进行全面动态摸底排查，对各类关联安全漏洞提供可视化呈现，再配合漏洞探测、风险评估、应急响应、整改加固、安全运维，就可以全面提升各单位安全工作的可见性。

相关技术情况

1.网络空间资产探测技术

资产探测分为主动和被动两类。

主动探测一般指采用无状态扫描技术，只需向目标端口发送TCP三次握手中的SYN包，忽略其他连接状态，通过回包来判断端口开放性的一种扫描技术。

由于这种扫描无须维护连接状态，判断逻辑简单，可最大限度地利用服务器的CPU和带宽资源快速完成端口开放性检测。以此为代表的有Zmap和Masscan，号称可以在几分钟内扫遍全球IPv4互联网。

被动探测指通过采集目标网络的流量，对流量中HTTP、SMTP等应用层协议数据包中的特殊指纹信息或TCP三次握手等指纹特征进行分析，从而实现对网络空间资产的无感知探测。

被动探测需要获得目标网络的流量，并经网络运营者授权方可进行，以此为代表的有网络分析框架Zeek等。

如果要取得比较好的资产探测效果，需要结合主动和被动两种方式，并且辅以一定的数据分析和挖掘能力。

2.漏洞扫描技术

漏洞扫描一般分为特征匹配和漏洞验证程序（Proof of Concept，简称POC）漏洞验证。

特征匹配技术指的是构造特定载荷发送到扫描对象，根据响应中是否存在相应特征，来判断漏洞是否存在。

例如宝塔面板曾经存在的未授权访问漏洞为可以匿名直接访问受保护的后台页面，扫描器发送目标网址为http://网站域名/pma的数据包，如果返回结果中存在状态码200OK的返回值，则说明漏洞可能存在。

这样的验证方式存在两个明显弊端，一是验证漏洞需要发送大量的数据包，容易被安全设备或服务器认定为攻击行为而进行拦截阻断；二是单纯发送带有某个验证规则的探测包，准确率低，容易产生误报。

POC验证实现了漏洞从发现到利用的全过程，首先模拟正常行为去访问可能存在漏洞的对象，再根据响应结果判断漏洞是否存在，从而减少批量验证造成安全设备的拦截。

成熟的POC通用性很强，可以针对不同版本的组件进行漏洞验证。大量安全类工具和网站集成和公布了漏洞利用POC，并有长期更新和维护，以此为代表的有Metasploit和www.exploit-db.com。

问题和挑战

1.通用扫描不适用于特定资产漏洞探测

当前的通用漏洞扫描器如Nessus等，侧重于对定义好的批量IP或网站进行周期性扫描。

如保护对象为特定资产，采用的漏洞扫描体系需具备与资产数据库发生数据联动的能力，以扫描特定网络空间资产、关注特定架构安全。

如果扫描器面对的网络空间资产处于“黑箱”状态，则需要进行大量的前期探测来猜解目标资产。

随着资产管理人员安全意识的提升，很多资产都取消或者隐藏了版本信息，并修改了可能暴露开放服务特征的信息，传统扫描器越来越难以获取到目标资产的准确信息。

2.主机扫描器侵入性强，可能带来风险

针对特定对象的漏洞扫描大多是侵入式的主机扫描，对于某些关键信息资产，引入全自动化的扫描器本身就是一种安全风险，扫描器本身的设计机制也可能对资产提供的服务产生负面影响。

扫描器缺少目标资产的详细服务信息，往往采用遍历法寻找开放端口和潜在漏洞，在短时间内会向目标对象发送大量的探测数据包。

目标资产处理能力不足时，这一行为可能会成为DoS（拒绝服务攻击）的来源，影响其对外正常提供服务。

对于某些配置了防火墙的资产，这一操作还可能触发防火墙本身的告警阻断机制，产生虚假警报，增加运维管理的工作量，同时干扰正常业务访问。

漏洞信息探测设计

针对上述问题，本文提出了新的漏洞信息探测系统框架。

本漏洞信息探测系统分为两个子系统，包括三个模块。两个子系统是资产管理系统和漏洞数据库；三个模块是漏洞扫描模块、通知队列和可视化模块（如图1）。

图1 漏洞信息探测系统框架

漏洞扫描模块从资产管理系统获取资产信息，根据目标资产架构不同，从漏洞数据库中抽取对应的漏洞数据进行扫描，扫描结果放入通知队列通知资产管理员，同时也可以从可视化界面中查看扫描信息。

1.资产管理系统

资产管理系统为独立系统，资产管理员需要在其中录入IP地址、域名、开发方、使用框架等基础资产信息，为漏洞扫描提供网络空间资产信息。

随着信息技术的发展，各种开发框架不断出现，开发者只需要专注于高层的业务流程，而无需关心低层的繁琐操作，大大加快了开发进程，但是这些框架的开发者不同，设计逻辑、代码实现不同，存在的漏洞也不尽相同。

常规探测系统往往需要大量的扫描来确定使用框架，进而针对开展漏洞扫描；面对使用框架不确定的网络空间资产时，不得不扫描所有框架的可能漏洞，不仅大大延长了扫描时间，还会对目标资产的正常服务产生影响。

资产管理系统解决了目标资产“黑箱”状态的问题，让扫描器能够更有针对性、更加精准地完成漏洞扫描。

同时很多单位自身不具备足够的开发能力，往往会选择将信息资产的开发工作外包。

对于功能相似的信息资产，外包公司可能使用相同或相似的系统框架进行部署，导致相同的漏洞出现在提供不同服务的同类系统或不同主管单位的同类系统中。

如果缺乏资产的开发公司信息，传统方法只能采用暴力扫描，费时费力。

与之相比，漏洞信息探测系统可从资产管理系统提取结构化信息，找出不同网络资产的架构或者开发公司的相同点，在不牺牲准确率的情况下，大大减少漏洞扫描所需请求。

除相同漏洞带来的安全风险外，将开发工作外包还会导致旁路攻击，攻击者不直接攻击目标系统，而通过与目标系统相关联的、具有漏洞的其他目标获取信息，最终达到成功攻击的目的。

攻击者可以通过开发厂商自身官网或者暴露在公网上的端口进行攻击，获取目标网络资产的源代码后，犹如小偷有了藏宝图，网络资产的安全性自然是岌岌可危。

但是在传统方法下，扫描引擎缺少网络资产的开发信息，任由这把“达摩克里斯之剑”悬在头顶。

通过资产管理系统将网络资产的开发公司纳入漏洞信息获取范围，可以准确溯源，提前防范，显著降低了旁路成功攻击的可能性。

2.漏洞数据库

漏洞数据库包括漏洞特征、漏洞POC、漏洞修补方式等信息。互联网上现存的漏洞数据库有通用漏洞披露（CVE）数据库、国家信息安全漏洞库（CNNVD）等，从中可获取大量漏洞披露数据。

本系统采用自建漏洞数据库，采用RSS订阅和爬虫技术，整合现有多漏洞来源渠道，增强对各类已知漏洞的覆盖度，实时自动更新并辅以必要的人工介入，在降低人力成本的同时显著提高漏洞数据库的时效性和准确性。

3.漏洞扫描模块

漏洞扫描模块使用资产管理系统提供的资产数据，从漏洞数据库中寻找匹配的可能漏洞，并使用对应的POC代码进行快速验证。

基于POC的扫描方式在提高验证准确性的同时，也显著降低了系统的资源消耗和带宽占用。

漏洞扫描模块采用了分布式系统（Distributed System）设计，利用Docker虚拟化技术，将任务分配到不同的扫描队列，降低了同一时段的集中扫描，减少了扫描行为在IP上的聚集分布特征，不仅降低了扫描流量触发防火墙防御策略的可能性，提高了系统扫描的准确率，更为漏洞扫描探测平台赋予了动态扩容的能力（如图2）。

图2 漏洞扫描模块

4.通知队列

通知队列基于Redis数据库实现，接受漏洞扫描模块的漏洞报告，使用资产管理员的联络方式（如邮件、微信等）通知管理员。

通知队列先将通知事件存储在Redis队列中，再从中取出信息按照不同渠道发送。Redis队列根据当前处理能力发送信息，能够最大限度地利用服务器的资源，同时避免大量任务导致的不稳定。

考虑到邮箱、微信等通知渠道可能由于网络抖动等原因出现发送错误，导致信息丢失，通知队列设计了定时重发功能，该功能利用Redis的键空间消息特性（Redis Key space Notifications），提高了通知模块的鲁棒性，避免因信息丢失导致漏洞信息通知功能失效。

5.可视化模块

可视化模块展示资产概况、漏洞信息及漏洞处置情况，并支持资产管理员与系统交互，管理员也可对某一漏洞单独发起检测，以便确认漏洞修复情况或者确认漏洞已经修复完成。

下一步考虑与展望

结合网络空间资产的漏洞信息探测相对于传统漏洞扫描模式有着显见的优势，但仍然未能摆脱漏洞库构建对人力的依赖，并且在对0Day等新漏洞的发现上存在短板。

人工智能的发展为漏洞的自动化挖掘提供了新的方向。未来利用人工智能技术，可以一定程度上减少对现有漏洞库和人力的依赖，更高效地进行漏洞发现与测试，从而更好保护网络空间安全。

作者：吴恩平（上海市网络与信息安全应急管理事务中心）

责编：高明