白澤攻擊面管理系統(tǒng)

1 產(chǎn)品概述

白澤攻擊面管理系統(tǒng)以攻擊者視角聚焦企業(yè)網(wǎng)絡空間IT 資產(chǎn)，幫助客戶時刻洞察網(wǎng)絡

空間資產(chǎn)風險，主動掌控資產(chǎn)動態(tài)，及時緩解企業(yè)安全壓力，為客戶打造一套可快速構建的

實戰(zhàn)化、自動化、智能化的安全風險監(jiān)測平臺。

2 需求分析

2.1 政策要求

最高指示

? 網(wǎng)絡安全和信息化工作座談會上，習總書記指出：要全面加強網(wǎng)絡安全檢查，摸清家底，

認清風險，找出漏洞，通報結果，督促整改

? 網(wǎng)絡安全威脅和風險日益突出，安全防控能力薄弱，難以有效應對國家級、有組織的高

強度網(wǎng)絡攻擊

國家監(jiān)管單位

? 公安部1960 號《貫徹落實網(wǎng)絡安全等保制度和關保制度的指導意見》明確指出“梳理

網(wǎng)絡資產(chǎn)，建立資產(chǎn)檔案”

? “網(wǎng)絡安全等級保護和關鍵信息基礎設施安全保護工作宣貫會”,公安部明確指出“收

斂互聯(lián)網(wǎng)資產(chǎn)暴露面，加強攻擊點管控”

省市網(wǎng)安中心

? “護網(wǎng)”網(wǎng)絡安全專項工作，將網(wǎng)絡資產(chǎn)“底數(shù)清，情況明”作為首要的第一項工作，

且公安部每年例行“實戰(zhàn)攻防演練”

? 長期不維護使用的“僵尸”系統(tǒng)務必確保全量關停下線

行業(yè)政策規(guī)范

? 金融行業(yè)標準《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》規(guī)定

? 進行資產(chǎn)分類，綜合分析面臨的內(nèi)外部威脅及可被威脅利用的脆弱性

? 定期對代碼倉庫、文件共享等網(wǎng)站進行檢索，對非授權公開的源代碼等敏感文件資產(chǎn)應

進行刪除處理

2.2 需求痛點

”沒有絕對安全的系統(tǒng)“網(wǎng)絡攻擊早已不是單純的“炫技”行為，已逐步形成了以經(jīng)濟

和政治利益為目的的“工業(yè)化、產(chǎn)業(yè)化”攻擊手段，企業(yè)為了對抗來自全球的攻擊威脅，部

署了大量硬件和軟件防護設備，做到這樣系統(tǒng)就安全了嗎？答案顯然不是，因為并沒有真正

以攻擊者的視角去進行驗證只是站在防守端，什么才是企業(yè)應用系統(tǒng)的弱點？哪些是可以被

黑客利用的？如何全面掌握企業(yè)資產(chǎn)暴露面？這些是企業(yè)急需解決的問題。

3 企業(yè)資產(chǎn)管理面臨的挑戰(zhàn)

企業(yè)資產(chǎn)龐大

隨著企業(yè)規(guī)模越來越大，承載企業(yè)業(yè)務的資產(chǎn)也會越來越多，如果采用傳統(tǒng)的資產(chǎn)管理

系統(tǒng)，需要大量的人為收集工作，這種方式存在：工作量大、收集不全和業(yè)務系統(tǒng)統(tǒng)計不準

確的問題。因為資產(chǎn)和業(yè)務系統(tǒng)都不會是單一的。

資產(chǎn)頻繁變化

隨著企業(yè)的發(fā)展，企業(yè)的業(yè)務快速變更，業(yè)務線的資產(chǎn)使用也會發(fā)生快速的變化；云平

臺技術的大量采用，IP 地址是動態(tài)分配的，云上承載的業(yè)務系統(tǒng)也是快速變化的，可能昨

天還是一個IIS 系統(tǒng)的統(tǒng)計分析系統(tǒng)，今天就變成Nginx 的OA 系統(tǒng)了……企業(yè)如何應對這

種快速變化形勢下的資產(chǎn)收集和應用系統(tǒng)指紋識別將是一個不小的挑戰(zhàn)。

安全事件應急處理

高危安全漏洞事件每年都會發(fā)生很多起，且有越來越多的趨勢。某個0day 或者Nday

漏洞事件突發(fā)，為了保護企事業(yè)單位，必須快速響應,確認受影響的資產(chǎn)個數(shù)和范圍。

近期重大漏洞

? Struts2 RCE

? IOT 設備弱口令

? PHPMailer RCE

? ImageMagic RCE

? Redis、Elasticsearch 未開啟驗證導致數(shù)據(jù)泄露

? ES、CauchDB 等系統(tǒng)勒索事件

? 其它

如果企業(yè)有十萬資產(chǎn)，如何快速定位哪些系統(tǒng)存在問題是一個巨大的挑戰(zhàn)，使用傳統(tǒng)掃

描器掃描，時間會長達幾周，白澤攻擊面管理系統(tǒng)只需要一次查詢統(tǒng)計，一次掃描就可以完

成。

4 產(chǎn)品思路

采用主動掃描的方式，對網(wǎng)絡資產(chǎn)數(shù)據(jù)進行全面、高效、精準的采集和分析，為網(wǎng)絡安

全防護提供了堅實的數(shù)據(jù)基礎，產(chǎn)品集成“漏洞掃描、資產(chǎn)合規(guī)性監(jiān)測”等安全防護模塊，

有效的解決了傳統(tǒng)防御手段的被動處境，為企業(yè)的網(wǎng)絡系統(tǒng)添加強大的安全監(jiān)控和應急響應

能力，幫助企業(yè)有效的預測風險，精準的感知威脅，為企業(yè)的網(wǎng)絡系統(tǒng)提供強有力的安全保

障。

系統(tǒng)通過以下三個步驟對企業(yè)的網(wǎng)絡資產(chǎn)實施有效的安全防護：

第一步、全面梳理網(wǎng)絡資產(chǎn)：網(wǎng)絡資產(chǎn)是構成網(wǎng)絡空間的基礎元素，要想對網(wǎng)絡空間進

行有效的安全管理和防護，首先要對網(wǎng)絡資產(chǎn)進行全面、準確的梳理，清晰的掌握攻擊面暴

露資產(chǎn)，這是開展網(wǎng)絡安全工作極為重要的前提條件。

第二步、網(wǎng)絡資產(chǎn)風險評估：對網(wǎng)絡資產(chǎn)進行全方位的風險評估，主動發(fā)現(xiàn)網(wǎng)絡資產(chǎn)上

面存在的安全漏洞、弱口令等可被攻擊者利用的安全風險，同時結合資產(chǎn)的重要程度進行風

險分析，準確定位風險優(yōu)先級，快速有效的解決潛在的威脅。

第三步、自動且持續(xù)的安全監(jiān)測：持續(xù)監(jiān)測分為資產(chǎn)漏洞和違規(guī)操作兩部分。用戶可以

通過創(chuàng)建周期性的漏洞掃描任務來持續(xù)監(jiān)測資產(chǎn)漏洞；另外，企業(yè)需要根據(jù)自己的安全管理

規(guī)范制定網(wǎng)絡資產(chǎn)合規(guī)性監(jiān)測規(guī)則，讓一切違規(guī)操作都可以被及時的發(fā)現(xiàn)和追溯，徹底杜絕

從內(nèi)部產(chǎn)生的網(wǎng)絡安全隱患。

5 白澤攻擊面管理系統(tǒng)

白澤攻擊面管理系統(tǒng)是北京云科安信科技有限公司開發(fā)的一款可以全面快速發(fā)現(xiàn)網(wǎng)絡

資產(chǎn)，結合漏洞專掃、違規(guī)外聯(lián)檢測等技術，有效發(fā)現(xiàn)未知資產(chǎn)及威脅資產(chǎn)的高性能安全掃

描產(chǎn)品。

通過主動或被動方式收集、抓取、存儲專用或通用網(wǎng)絡中對外開放服務的資產(chǎn)，分析整

理不同種類的資產(chǎn)指紋信息（規(guī)則），借助全新的高性能掃描引擎，快速針對某一個POC

進行漏洞專掃，能夠為用戶提供網(wǎng)絡資產(chǎn)管理、風險資產(chǎn)分析驗證、違規(guī)資產(chǎn)外聯(lián)預警、漏

洞影響范圍統(tǒng)計等安全防護，幫助用戶全面快速地開展安全管控業(yè)務。

系統(tǒng)通過實時全量采集設備鏡像口流量，通過自有模型進行分析，自動發(fā)現(xiàn)違規(guī)外聯(lián)行

為。

產(chǎn)品主要功能特點：

? 主動掃描、流量監(jiān)控等多種資產(chǎn)采集方式，自動獲取資產(chǎn)和開啟的服務

? 識別資產(chǎn)指紋信息、類型、廠商等特征

? 資產(chǎn)標簽化及多維度管理

? 內(nèi)網(wǎng)資產(chǎn)違規(guī)外聯(lián)檢測

? 資產(chǎn)信息統(tǒng)計分析報表

? 漏洞專掃高效穩(wěn)定

? 弱口令掃描

? 系統(tǒng)、業(yè)務功能設置管理

5.1 產(chǎn)品架構

白澤攻擊面管理系統(tǒng)采用微服務、分布式架構，系統(tǒng)共分為資產(chǎn)數(shù)據(jù)采集層、資產(chǎn)數(shù)據(jù)

分析層、資產(chǎn)數(shù)據(jù)采集層三個層面及多維度資產(chǎn)發(fā)現(xiàn)、信息搜集、漏洞掃描三大核心模塊，

依靠分布式部署及任務調(diào)度技術可以快速實現(xiàn)對資產(chǎn)的全面分析和風險識別探查。

白澤攻擊面管理系統(tǒng)漏洞管理模塊基于Java EE 的企業(yè)應用解決方案，以Spring

Framework 為核心，整合多種開源開發(fā)框架。實現(xiàn)包括數(shù)據(jù)管理、數(shù)據(jù)解析、數(shù)據(jù)展現(xiàn)、

數(shù)據(jù)分析、WebService 等等企業(yè)應用特性的Java 企業(yè)應用平臺架構。

1. 系統(tǒng)以JDK 為基礎，采用Spring Framework 作為架構的基礎。

2. 數(shù)據(jù)處理使用MyBatis 框架來提高開發(fā)效率同時保證數(shù)據(jù)庫層的高效率，后臺用

MySQL 作為數(shù)據(jù)存儲載體

3. 業(yè)務邏輯層使用DAO + DTO 的經(jīng)典模式

4. 視圖層技術使用JSP 和JQuery，結合MVVM 模式的vue.js 來顯示應用MVC 模式，

系統(tǒng)分層清晰，同時支持分布式集群部署，將數(shù)據(jù)層與業(yè)務表現(xiàn)層物理分離，靈活適應各種

部署環(huán)境。

漏洞管理模塊架構如下圖，其層次結構可以劃分為：數(shù)據(jù)源、采集層、數(shù)據(jù)層、業(yè)務邏

輯層、應用展現(xiàn)層。支持對多品牌異構漏洞掃描器、用戶自定義漏洞數(shù)據(jù)、第三方互聯(lián)網(wǎng)漏

洞平臺的漏洞數(shù)據(jù)進行集中采集和分析，對異構漏洞數(shù)據(jù)進行標準化，將不規(guī)范、不標準、

英文的原始漏洞數(shù)據(jù)自動轉變?yōu)榉螩NNVD 漏洞標準的全中文漏洞數(shù)據(jù)，對組織當前資

產(chǎn)、漏洞、風險情況進行及時分析，掌握每一個漏洞數(shù)據(jù)狀態(tài)，及時掌握微觀到宏觀不同層

級的漏洞態(tài)勢。為后期的漏洞數(shù)據(jù)挖掘、深度漏洞數(shù)據(jù)分析提供技術支撐，提高風險管理水

平和效率。

白澤攻擊面管理系統(tǒng)核心功能主要分三大層。資產(chǎn)數(shù)據(jù)采集層主要對目標資產(chǎn)進行信息

收集及域名、IP、端口等信息進行初步整理，資產(chǎn)數(shù)據(jù)分析層主要對數(shù)據(jù)采集層收集到的信

息進行安全漏洞掃描、服務及應用指紋識別、資產(chǎn)關聯(lián)性分析、特征提取等深層次掃描和識

別，資產(chǎn)數(shù)據(jù)展示層主要對數(shù)據(jù)采集和數(shù)據(jù)分析層內(nèi)容進行多維度分析和統(tǒng)計最后入庫形成

可視化展示和管理。

白澤攻擊面管理系統(tǒng)技術框架圖

5.2 技術路線

白澤攻擊面管理系統(tǒng)遵從公司一體化云平臺、全業(yè)務統(tǒng)一數(shù)據(jù)中心等總體技術路線，在

信息安全等級保護體系基礎上，充分借鑒行業(yè)內(nèi)外典型企業(yè)資產(chǎn)測繪平臺架構設計，采用微

服務模式進行構建其主要包括資產(chǎn)數(shù)據(jù)采集層、資產(chǎn)數(shù)據(jù)分析層、資產(chǎn)數(shù)據(jù)展示層三大模塊。

5.3 關鍵技術難點及創(chuàng)新

近些年IPv4 互聯(lián)網(wǎng)地址的逐漸耗盡，IPv6 互聯(lián)網(wǎng)地址的快速廣泛應用以及5G、物

聯(lián)網(wǎng)等技術發(fā)展使得企業(yè)越來越多的資產(chǎn)需要暴露在互聯(lián)網(wǎng)空間，更大的網(wǎng)絡空間暴露面帶

來了更多的網(wǎng)絡空間安全威脅。特別是下級單位或分支機構較多的大型企業(yè)，對資產(chǎn)及高危

脆弱性的檢查效率、準確性存在很多家底摸不清，安全狀況不明的問題。

網(wǎng)絡資產(chǎn)威脅監(jiān)控及管理目前是通過漏洞掃描器定時對內(nèi)外網(wǎng)應用進行漏洞掃描，人工

對資產(chǎn)進行收集、統(tǒng)計和管理，工作效率存在一定的局限性和弊端，亟需信息化手段支撐。

白澤攻擊面管理系統(tǒng)是資產(chǎn)普查、風險探測、風險管理于一體的綜合資產(chǎn)探測與詳情展

示系統(tǒng)，結合漏洞發(fā)現(xiàn)檢測技術和數(shù)據(jù)情報分析技術，可以實現(xiàn)對網(wǎng)絡空間的IPv4 及域名

資產(chǎn)存活狀態(tài)的快速探測，具備針對全網(wǎng)各類資產(chǎn)的精準發(fā)現(xiàn)、精準識別、精準威脅檢測能

力。白澤攻擊面管理系統(tǒng)以資產(chǎn)搜集、指紋檢測、PoC 檢測三大高性能檢測引擎為基礎，

依托資產(chǎn)指紋庫、CVE 漏洞庫、PoC 規(guī)則庫等豐富的資源庫，實現(xiàn)對網(wǎng)絡空間資產(chǎn)的準確

識別、發(fā)現(xiàn)與安全檢測，從而掌握網(wǎng)絡空間資產(chǎn)安全風險態(tài)勢，提升資產(chǎn)安全治理水平，降

低資產(chǎn)安全維護管理成本。

5.4 功能描述

AI 智能滲透：

通過大量自研POC 漏洞和國內(nèi)外一流掃描引擎，結合8000+指紋識別規(guī)則，通過AI

算法自動實現(xiàn)插件式精準化滲透攻擊驗證。

基于安全基線的資產(chǎn)預警：

通過網(wǎng)站全鏈接內(nèi)容監(jiān)測分析，進行資產(chǎn)暴露預警，如監(jiān)測違規(guī)端口開放（3389）、惡

意JS 腳本（挖礦、木馬）、后門程序

自動化應用資產(chǎn)探查：

域名自動爆破，目前默認支持4 級域名探查；微信公眾號、微信公眾號鏈接探查；微

博賬號自動化探查；IP+端口敏感目錄探查；IP+端口網(wǎng)頁標題探查；仿冒APP 探查

站點監(jiān)測：

通過對網(wǎng)站的響應速度、解析速度、網(wǎng)站響應碼、超時、404、502 等狀態(tài)進行分析，

實時對網(wǎng)站的可用性進行監(jiān)測和告警，可及時發(fā)現(xiàn)網(wǎng)站質(zhì)量和故障信息。

外部資產(chǎn)發(fā)現(xiàn)：

通過對監(jiān)測目標單位組織架構、人員等信息收集調(diào)取社工庫等平臺對信息進行檢測實現(xiàn)

員工信息泄漏檢測；對github 等開源社區(qū)，暗網(wǎng)交易平臺進行監(jiān)控，第一時間發(fā)現(xiàn)針對目

標單位的威脅情報，實時止損；針對常用網(wǎng)盤軟件進行關鍵字探查

數(shù)字資產(chǎn)時間軸對比：

以攻擊者視角對數(shù)字資產(chǎn)進行持續(xù)性的全生命周期監(jiān)測，某些異常行為并不是持續(xù)性發(fā)

生，如異常端口開放等，通過持續(xù)性監(jiān)測對比可發(fā)現(xiàn)數(shù)字資產(chǎn)中的偶發(fā)異常情況。

5.5 典型部署

a）SAAS 模式部署

b）本地化部署

6 產(chǎn)品特色

從攻擊者角度出發(fā)，重新定義網(wǎng)絡資產(chǎn)：傳統(tǒng)意義上的資產(chǎn)，被定義為服務器和IT 設

備，僅限于從物理層清點資產(chǎn)，但是攻擊者不止關注硬件設備，更多關注的是設備上承載的

業(yè)務系統(tǒng)，甚至是某個服務或中間件，所以網(wǎng)絡資產(chǎn)管理僅僅管理主機和網(wǎng)絡設備是遠遠不

夠的。

白澤攻擊面管理系統(tǒng)從安全角度出發(fā)，對每一個IP 進行畫像，描述每一個IP 開放的端

口及服務、硬件載體以及承載的業(yè)務系統(tǒng)等軟件成分，更加契合基于安全對資產(chǎn)的實際需求。

網(wǎng)絡資產(chǎn)全覆蓋，清晰掌握攻擊暴露面資產(chǎn)：白澤攻擊面管理系統(tǒng)提供多種部署和資產(chǎn)

數(shù)據(jù)采集方式，完美應對用戶復雜且多變的網(wǎng)絡環(huán)境，支持全端口、全協(xié)議的資產(chǎn)掃描，實

現(xiàn)網(wǎng)絡資產(chǎn)的全面覆蓋，讓隱形資產(chǎn)無處遁形，不留管理盲點。

建立符合企業(yè)實際管理場景的資產(chǎn)管理模式：系統(tǒng)將網(wǎng)絡資產(chǎn)與企業(yè)管理屬性進行緊密

的結合，按照企業(yè)的實際管理需求進行分級和分類，例如：業(yè)務系統(tǒng)、組織結構、機房信息

等，從而為企業(yè)創(chuàng)造更多的管理價值。

提高攻擊門檻，有效縮減90%攻擊面：在資產(chǎn)細粒度清點的基礎上，持續(xù)、全面透徹

地發(fā)現(xiàn)潛在風險及安全薄弱點。根據(jù)多維度的風險分析和精確到命令行的處理建議，幫助用

戶及時處理重要安全風險，有效限制攻擊者接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼，從而大大

提高系統(tǒng)的攻擊門檻。

自動、持續(xù)的監(jiān)測分析，及時發(fā)現(xiàn)重要的安全風險：系統(tǒng)會主動、持續(xù)性的監(jiān)測所有網(wǎng)

絡資產(chǎn)的安全漏洞、弱口令等，結合資產(chǎn)的重要程度進行風險分析，準確定位最急需處理的

風險，幫助企業(yè)快速、有效的進行安全防護。

7 產(chǎn)品優(yōu)勢

? 快速

白澤攻擊面管理系統(tǒng)采用全球最領先的端口掃描程序，可快速獲取到企業(yè)的存活資產(chǎn)，

比傳統(tǒng)的NMAP 掃描器快很多倍；更適用于規(guī)模很大的企業(yè)和大規(guī)模的全網(wǎng)掃描。

? 全面

自主研發(fā)的協(xié)議識別程序有170 多種協(xié)議，包括260 多個端口；已經(jīng)涵蓋了主流的協(xié)

議（HTTP、FTP、SSH、TELNET、NETBIOS、RDP、各類數(shù)據(jù)庫等，甚至還包含了各種

公開協(xié)議）。能夠保證95%以上的開放了端口的協(xié)議都能識別和獲取信息（協(xié)議banner、

http 的頭部、http 的內(nèi)容、證書信息等等）。

對沒有開放任何端口的存活資產(chǎn)，使用ping 的方式來獲取。

這兩種方式可保證不遺漏任何存活資產(chǎn)。

? 準確

傳統(tǒng)的NMAP 掃描器對防火墻開放端口的情況有大量的誤報，而白澤攻擊面管理系統(tǒng)

通過技術手段很好的解決了這部分誤報，避免造成干擾。

白澤攻擊面管理系統(tǒng)對連接重置等無法獲取協(xié)議信息的情況默認不入庫，我們只輸出能

夠準確識別出協(xié)議信息的資產(chǎn)，保證準確性。

? 標簽后置和自定義

白澤攻擊面管理系統(tǒng)的指紋標簽通過后置的方式標記，可以隨意重新打標簽；更加靈活。

對于部分沒有覆蓋到的指紋規(guī)則，企業(yè)可以自行定義規(guī)則。

? 定制化

產(chǎn)品需求可定制；企業(yè)特有的協(xié)議可定制；針對特大規(guī)模的企業(yè)可定制白澤攻擊面管理

系統(tǒng)集群版。

8 產(chǎn)品價值

? 合規(guī)性

白澤攻擊面管理系統(tǒng)通過自主收錄的55000 多條指紋規(guī)則，會對資產(chǎn)進行標簽化管理；

指紋涵蓋企業(yè)各種管理產(chǎn)品/組件（包括交換機、路由器、打印機、視頻監(jiān)控設備、OA 系

統(tǒng)、郵件系統(tǒng)、CRM、ERP 等等）；方便企業(yè)快速統(tǒng)計某個業(yè)務應用的覆蓋范圍和詳細資產(chǎn)

列表。

? 違規(guī)性

發(fā)現(xiàn)直連互聯(lián)網(wǎng)行為，發(fā)現(xiàn)由于管理不足，造成內(nèi)外網(wǎng)設備混用的行為;發(fā)現(xiàn)人員操作

疏忽，使用內(nèi)網(wǎng)設備訪問互聯(lián)網(wǎng)服務的行為。

? 存活性

通過主動掃描、流量監(jiān)控等多種資產(chǎn)采集方式，對企業(yè)資產(chǎn)進行全面的收集。領先的全

網(wǎng)端口掃描系統(tǒng)，只入庫真正存活資產(chǎn)，解決防火墻開放端口誤報問題。

? 脆弱性

通過漏洞專掃，發(fā)現(xiàn)威脅資產(chǎn)。通過自定義規(guī)則，發(fā)現(xiàn)隱患資產(chǎn)。