2020년 중반에 하나하얀 모자신에너지 자동차 회사의 백엔드 시스템에서 사용하는 자격 증명이 GitHub에서 발견되었습니다. 자격 증명은 단순히 Base64 암호화를 사용했습니다. 이 크리덴셜은 해당 백엔드 시스템에 직접 로그인할 수는 없지만, 획득한 API 목록을 통해 화이트햇은 인증되지 않은 여러 인터페이스를 성공적으로 찾아냈으며, 이러한 인터페이스를 통해 백엔드 데이터를 일괄적으로 얻을 수 있다.
이러한 잠재적인 위기에 대해 경고했어야 했지만, 2020년 8월, 자동차 회사는 비슷한 안전 사고를 다시 겪었습니다. 자동차 소유자는 자신의 차량 관리 앱에 다른 사람의 차가 여러 대 등장했다고 폭로했다. 차주가 자동차회사에 신고했지만 자동차회사는 묵묵히 문제를 해결했다. 분석 후, 화이트 해커들은 이 문제가 또 다른 전형적인 인터페이스 부족 인증 취약점이라는 점에 동의했습니다.
클라우드 서비스의 부상으로 기존 엔터프라이즈 아키텍처는 현재 일반적인 클라우드 + 로컬 하이브리드 배포 형태를 형성했으며 네트워크 아키텍처도 하이브리드 배포로 변경되었습니다. 기존의 보안 방어는 더 이상 하이브리드 배포의 위협에 대처하기에 충분하지 않습니다.
공격과 방어의 본질은 정보 비대칭이지만 취약성의 본질은 데이터 입력 및 유출에 대한 효과적인 제어가 부족하다는 것입니다. 현재 하이브리드 구축 상황에서는 "내 기업 자산의 어느 입구와 출구에 문제가 있는지 알고 있다"는 것이 매우 중요합니다.
업계의 문제점: "얼마나 많은 돈"을 가지고 있는지 살펴보세요.
이 문제를 해결하는 방법은 각 기업마다 고유한 탐구와 실천이 있습니다. 그러나 알리바바 시큐리티의 관점에서 볼 때 문제의 근원은 기업이 자신의 자산, 특히 코로케이션 구조에 있는 자산을 실시간으로 통제할 수 없다는 점이다. 그것은 내가 이러한 인터페이스를 가지고 있다는 것을 "몰랐다"는 것입니다. 또는 이러한 인터페이스에 보안 문제가 있다는 것을 "몰랐다"는 것입니다.
물론, 내가 가지고 있는 입구와 출구가 무엇인지 아는 것만으로는 충분하지 않습니다. 비즈니스 위험을 평가할 때 다음과 같은 많은 질문에 대한 답변이 없다는 것을 알게 됩니다.
l 위험은 얼마나 큰가? 어떤 영향이 있나요?
l 현재 보호 전략은 어느 정도를 포괄합니까?
l 전략이 효과적인지 판단하는 방법은 무엇입니까?
l 누락된 자산이 있나요?
l 개선의 여지는 얼마나 됩니까?
이러한 일련의 질문에 대해서는 구체적인 안전 데이터를 바탕으로 답변해야 하지만 현실은 전혀 낙관적이지 않습니다.
다양한 유형의 자산 데이터가 다양한 사업 분야에 분산되어 있어 첫째, 수집 및 통합이 어렵고, 둘째, 이해 및 소화가 어렵고, 동시에 전체적인 경험 축적이 어렵습니다. 서로 다른 비즈니스 라인에서 서로의 비즈니스 결과를 재사용할 수 있습니다.
우리는 그러한 "천사 동료"를 기대하고 있습니다. 그녀는 제가 필요한 모든 "자산 데이터"를 가지고 있습니다. 그녀는 제가 데이터를 연관시키고 분석하는 데 도움을 주었습니다. 그녀는 또한 자신이 지원하는 비즈니스 시나리오에 따라 데이터를 침전시키고 표시할 수 있습니다. , 그녀의 방법론을 완전히 재사용할 수 있으며 직접 사용할 수 있을 뿐만 아니라 필요에 따라 자유롭게 조합할 수도 있습니다.
"에셋블루프린트"는 그러한 "천사동료"가 되기 위해 노력하고 있습니다.
자산 청사진에 대한 솔루션
2020년 3월 Alibaba는 디지털 인프라를 위한 차세대 보안 아키텍처를 출시했습니다. 새로운 보안 아키텍처 하에서 보안 방어가 어떻게 구현되어야 하는지 다시 생각해 볼 때, 데이터 입력을 제공하기 위해 데이터로 설명할 수 있는 정량화 가능한 주행 시스템이 시급히 필요합니다. 이 시스템의 가장 큰 목표는 데이터를 활용해 보안 방어 트렌드를 주도하는 것이며, 이것이 청사진 탄생의 배경이다.
Blueprint는 대규모 기업 인트라넷 자산을 분류, 목록 작성 및 관리하는 데 중점을 둔 자산 수집 시스템으로, 기업 인트라넷 내 다양한 기본 자산 정보, 자산 지문, 자산 간 데이터 흐름 관계를 검색하는 데 사용할 수 있습니다. 다차원 라벨링을 제공합니다. 자산 목록은 비즈니스에서 제안하는 다양한 분석 애플리케이션 요구 사항의 신속한 구축을 충족하기 위해 태그된 자산 카탈로그로 게시되어 자산의 흐름과 활용을 허용함으로써 데이터가 비즈니스에서 제공되고 궁극적으로 사용됩니다. 사업으로.
"청사진"의 구축은 현재 4단계를 거쳤습니다.
첫 번째 단계인 기본 자산 인벤토리에는 자산 범위, 상태, 보안 예방 및 제어에 대한 명확한 인벤토리가 필요하며 호스트, 애플리케이션, 스토리지, 미들웨어, 공급망, 소스 코드, 권한 및 기업 내 기타 관련 리소스에 대한 이해가 필요합니다.
두 번째 단계인 관련 자산 목록에는 다양한 유형의 노드 자산 간의 액세스 관계 및 연관 관계 목록이 필요합니다.
세 번째 단계인 혈액 자산의 인벤토리에서는 남북 방향(외부에서 내부로의 네트워크 경계) 및 동서 방향(교차 애플리케이션 자원, 교차 노드 액세스)의 데이터 흐름 경로를 분석하고 자산 간의 경계 범위 및 링크 혈류 관계.
네 번째 단계는 태그 자산 인벤토리로, 자산 데이터가 비즈니스 요구를 지원한 후 가치를 극대화하기 위해 타겟 데이터 태그를 침전시킵니다.
Blueprint가 이 단계별 개발 계획을 선택한 이유 중 하나는 각 단계가 서로를 지원하지만 각 단계의 결과가 상대적으로 독립적이고 전달 가능하다는 것입니다. 구축의 각 단계가 완료되면 각 단계의 결과를 신속하게 전달하여 비즈니스에서 빠르게 사용할 수 있다는 장점이 있습니다. 예를 들어 "기본 자산" 인벤토리 단계에서는 호스트와 애플리케이션을 비즈니스에 빠르게 전달할 수 있습니다. 자산 재고용. 기본 자산의 인벤토리를 완료한 후 호스트, 애플리케이션, 도메인 이름, 담당자 간의 연관 관계를 구축할 수 있어 보안 비상 대응 및 추적성이 신속하게 수행될 수 있습니다. 전체 자산 시장을 통해 비즈니스 당사자는 현재 자산의 전체 그림을 명확하게 볼 수 있으며, 심지어 현재의 안전 수준, 자산 관리 수준 및 시장 전반에 걸친 해당 위험도 확인할 수 있습니다.
혈통 자산 재고는 전체 시스템의 가치를 증폭시키는 역할을 합니다. 처음 두 노드가 물류 지원이라면 세 번째 단계 이후 청사진은 최전선 보안팀과 함께 참호에 서서 디지털 '군수품'을 직접 출력할 수 있다. 공격이 발견되면 공격받는 IP 주소를 기반으로 보안 담당자는 서버의 영향을 받을 수 있는 1차 및 2차 영향 영역을 신속하게 찾을 수 있으며, 해당 애플리케이션 수준을 기반으로 공격 위험을 신속하게 평가할 수 있습니다. 첫 번째 및 두 번째 수준의 영향을 받는 컴퓨터.
과제와 위험
청사진의 내부 개발은 "적절한 시간, 적절한 장소, 적절한 사람"을 투입하여 순조롭게 진행되었다고 할 수 있지만 실제 개발에서는 여전히 큰 어려움에 직면해 있습니다.
과제 1: “사용 가능”
비즈니스에 어떤 자산 데이터가 필요한지 미리 아는 사람은 없습니다.
비즈니스 당사자가 자산 목록을 작성해야 하는 경우 대부분의 경우 명확하게 정의된 자산 범위뿐만 아니라 공급망 관계, 특수 미들웨어, 틈새 코드 프레임워크 등을 포함하여 필요한 자산 데이터가 크고 복잡합니다. 데이터가 없다는 것은 비즈니스 측면을 효과적으로 지원할 수 없다는 것을 의미합니다. 대부분의 비즈니스 요구 사항을 충족하기 위해 표준화된 자산 데이터 출력 프로세스(데이터 셀프 서비스 애플리케이션, 인터페이스 또는 출력 자산 데이터 보기)를 갖추는 것 외에도 청사진에는 비즈니스 당사자에게 명확하지 않은 맞춤형 요구 사항에 대한 입구도 필요합니다. 자산 데이터 요구사항에 대해서는 사업측과 세부적인 커뮤니케이션이 이루어져야 하며, 필요한 자산 데이터에 대해서는 사업측과 함께 이해해야 합니다.
마지막으로 블루프린트는 비즈니스 측에서 필요로 하는 자산 데이터를 검색, 도입 또는 생성하는데, 이 과정에서 비즈니스의 요구를 충족시키는 동시에 자산 데이터의 공백도 메워줍니다. 청사진 자체의.
과제 2: “감히 사용해 보세요”
정확한 데이터가 없으면 가치가 없습니다.
실제로 많은 기업이 자산 목록을 작성했지만 대부분은 '구현'하지 않았습니다. 근본적인 원인은 자산 데이터가 "정확"(정확하고 회수되지 않음)되거나, 업스트림 자산이 정확하게 회수되지 않아 다운스트림 비즈니스를 안정적으로 사용할 수 없게 되는 것입니다.
청사진이 제시하는 해결책은 준자오 건설에 적절한 자원을 투자하는 것이다. 자산 데이터 검사에 대한 자체 경험을 바탕으로 청사진 특성을 갖춘 구성 가능한 자동 호출 검사 시스템을 개발했습니다. 이 시스템은 다음 검사 및 호출을 완료하는 데 사용할 수 있습니다.
l 기본 품질 모니터링(주로 규칙 구성 예측 및 모니터링, 완전성, 정확성, 일관성 및 적시성을 위한 경보 처리 포함) 규칙은 일반 규칙과 사용자 정의 규칙으로 구분됩니다.
l 다중 소스 교차 검증을 통해 다중 소스 및 자산 데이터 및 링크 데이터의 비교 검증, 정확한 통화 가치 계산, 이상 데이터 모니터링 및 알람 처리가 가능하며 사용자 정의 SQL을 지원하여 운영의 다양한 교차 검증 요구를 충족시킵니다.
l 벤치마크 샘플 라이브러리는 샘플 침전과 자산 및 링크 사용을 지원하고 샘플 라이브러리를 기반으로 교차 검증 및 스캔 검증을 지원합니다.
l 수동 검증 프로세스. 자동으로 검증할 수 없는 사항에 대해서는 외주 자원을 투자하여 일정 수량의 샘플을 채취하여 수동으로 검증합니다.
과제 3: “사용하기 쉬움”
자산데이터의 가치는 나열되는 것이 아니라 가공되는 것입니다.
종합적인 자산 데이터가 있고 각 자산 데이터가 정확하더라도 단순한 목록일 경우에는 재고 결과의 가치가 높지 않습니다. 자산 재고의 가치는 상관관계 및 처리 결과에 반영되어야 합니다.
Blueprint는 분명히 단순한 자산 데이터 스택 플랫폼으로 자리매김하지는 않을 것입니다. 그러나 1+1>2의 증폭 효과를 달성하는 방법은 자산 인벤토리 분야에서 항상 어려운 문제였습니다. 청사진의 입구는 혈통 데이터입니다.
자체 구축한 블러드링크의 코드 분석 기능을 통해 애플리케이션 코드의 자동 분석을 완료하고, 애플리케이션 내 인터페이스 호출, 미들웨어 사용량, DB 사용량 등의 정보를 추출한 후 트래픽, 애플리케이션, 통화 링크 및 데이터 링크를 생성하기 위한 기타 정보 도로 데이터는 남북 경계 정보 흐름 경로 설명 문제를 해결할 뿐만 아니라 동서 애플리케이션 간의 정보 흐름 경로를 개선합니다.
그리고 온라인 정보와 오프라인 정보, 오프라인 정보 간의 혈연 분석을 결합하여 혈연 데이터를 생성하고, DB 내 데이터의 흐름 경로를 파악한다.
마지막으로, 데이터 계보 데이터와 결합된 애플리케이션 데이터 링크/호출 링크는 인터페이스에서 데이터베이스까지 전방향 데이터 흐름 경로 분석을 실제로 실현합니다.
데이터 가치의 대부분은 두 번째 사용자에게 있습니다.
블루프린트는 비즈니스 측면에 서비스를 제공하는 동시에 실제 비즈니스 사용 요구와 경험을 적극적으로 축적하며, 표준화된 기본 데이터를 기반으로 비즈니스 속성을 갖춘 자산 태그를 구축하고 다자간 비즈니스 효과를 재사용하며 비즈니스 거버넌스의 가치를 극대화합니다.
예를 들어 콘텐츠 보안 위험 비즈니스 시나리오를 제공할 때 청사진은 기술 수준의 콘텐츠 추가 및 수정 논리와의 인터페이스를 표시한 다음 비즈니스의 특정 용도에 따라 인터페이스를 표시합니다. 청사진은 향상된 로직과 결합되어 다른 인터페이스를 표시합니다. 또 다른 프로젝트에서는 이러한 태그된 콘텐츠 추가 및 수정 인터페이스 배치를 설정된 인터페이스 범위로 직접 사용할 수 있으며 비즈니스 요구에 따라 2차 심사에 집중할 수 있어 비즈니스 가치의 재사용을 극대화할 뿐만 아니라 진정한 재사용도 달성할 수 있습니다. 비즈니스에서 비즈니스로.
안전한 운영을 도모하세요
4단계 개발을 통해 청사진은 대규모 자산 데이터를 사용하여 하이브리드 클라우드 아키텍처에서 자산 인벤토리 시스템을 구축하고 비즈니스 당사자가 자산 데이터를 사용하여 자산 인벤토리, 위험 식별 등과 같은 다양한 비즈니스 요구를 완료할 수 있도록 지원합니다. 표준화된 자산 사용 계획 제공 비즈니스 당사자에게 안정적이고 편리하며 효율적인 액세스 제공
궁극적으로 알리바바 시큐리티는 객관적인 자산 목록을 통해 알리바바 시큐리티의 구축을 추진하고자 하며, 인간의 혈관 지도처럼 청사진은 명확한 자산 목록을 통해 위험 문제를 사전에 식별하고 다양한 보안 부서가 효과적인 보안 운영을 수행할 수 있도록 지원하는 수단이 될 수 있습니다.
알리클라우드 시큐리티의 원본 기사(복제된 경우 출처: https://www.cncso.com/kr/alibabas-data-asset-blueprint.html)를 참조하세요.
