证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

资产发现与管理—企业应用资产关系梳理篇-凯发k8国际首页登录

应用资产关系梳理及拓扑测绘在安全运营工作体系的战略层面和战术层面都起着重要的支撑作用。然而随着企业业务需求的不断增长,各企业建设的应用系统数量也随之增长,一个业务系统所涉及的应用数量可能高达几百甚至上千个,这些应用系统之间的依赖交互越多,应用系统的关系就越复杂,整个业务系统的逻辑也更为复杂。
发布时间:2021-05-26
浏览次数:1966
分享:

01 背景

应用资产关系梳理及拓扑测绘在安全运营工作体系的战略层面和战术层面都起着重要的支撑作用。然而随着企业业务需求的不断增长,各企业建设的应用系统数量也随之增长,一个业务系统所涉及的应用数量可能高达几百甚至上千个,这些应用系统之间的依赖交互越多,应用系统的关系就越复杂,整个业务系统的逻辑也更为复杂。

对于安全能力成熟度非常高的企业,通常会有一套有效的资产安全生命周期管理办法。但目前大部分企业由于管理人员变更和资产维护不到位,在资产方面或多或少存在一定的死角。

在业务系统出现异常或被恶意攻击时,企业it管理员都需要一个准确且尽可能完整的业务系统拓扑,从而快速定位故障点并及时处理已发生的安全事件。通过分析全流量数据信息,即可满足这一需求。

本文将从实际安全运营项目中总结出的经验出发,讲述应用资产关系梳理及拓扑测绘的具体思路及步骤,帮助大家在实际工作中灵活运用。

02 前提条件

在部署应用系统的各网络区域内提前部署流量采集分析系统,通过收集核心、汇聚甚至接入交换机收发的网络流量数据,并对其进行分析,从而计算出一张准确且完整的业务系统拓扑。数据采集方式有以下3种:

1、netflow:网络设备开启netflow功能,并将netflow信息导出至netflow收集器,建议elastic stack。

2、zeek&suricata:通过采集网络设备的镜像流量,解析网络流量中的关键信息,并将这些关键信息以json的格式存在文本文件中。

3、arkime:通过采集网络设备的镜像流量,解析网络流量中的关系信息,并将这些关键信息直接写入elasticsearch数据库中。

03 应用交互关系梳理建议

1、访问源梳理:根据给定ip地址,查询访问该ip的所有源ip地址,并过滤掉互联网地址,获得该应用节点的受众对象。

2、访问目的梳理:根据给定ip地址,查询该ip访问的所有目的ip地址,并过滤掉互联网地址,获得该应用节点的服务对象。

3、zeek/suricata/arkime的数据来源为网络镜像流量,如果系统没有收到tcp的syn包时,会导致源目ip地址对调,可以通过限制目的端口数值,确保查询结果的精确性。

4、在存在大量多层级调用关系的业务系统时,建议先通过应用关系梳理工具将每一层级的调用关系梳理完毕,再通过人工调研判断的方式固定好业务拓扑,在后续调用该业务拓扑时,应用关系梳理工具自动查询每一个节点上的交互,即可了解业务拓扑的准确变化。

5、如果存在与固定公网地址通信的应用,通过查询条件包含相关通信地址即可。

04 实际效果

以分析arkime系统的数据为基础,调用arkime的api接口,将需要展示业务系统拓扑的特定业务ip地址、查询的时间范围以及为保证数据结果的精确性设计的数据过滤语句作为数据分析条件提交至arkime系统,业务系统分析程序将返回的数据结果进行格式化,即可将业务系统拓扑展示至画布中。

05 总结

当应用系统运行异常,或出现渗透攻击时,一份准确、真实的应用拓扑图,往往能让安全团队的工作效率得到极大的提升。用户数据中心运行着几百上千套应用系统,此时如果通过人工维护拓扑信息,则需要投入极大的人力成本,并且极可能出现维护信息不准确的情况。但通过流量以及遥测数据基于真实业务调用访问数据,结合用户的资产管理系统数据,可自动生成各应用系统真实、准确的应用拓扑图。还有一些优势例如当应用出现变更,如新增应用节点或访问关系发生变化时,系统可自动更新拓扑,并为应用端到端追踪分析攻击者渗透后的内网横向及纵向移动行为,为后续的应急响应工作提供真实准确的数据支撑。

资产关系拓扑是整个资产运营模块的重要组成部分,可以快速地、全面地、准确地展示资产关系,有效的做好资产梳理是企业资产安全建设的基石。

关键词标签:
天融信 资产发现与管理 企业应用资产关系梳理
在线咨询





在线留言





客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注
网站地图