В середине 2020 года одинбелая шляпаУчетные данные, используемые серверной системой новой компании по производству энергетических автомобилей, были обнаружены на GitHub. В этих учетных данных просто использовалось шифрование Base64. Несмотря на то, что эти учетные данные не позволяют напрямую войти в соответствующую серверную систему, «белая шляпа» успешно обнаружила несколько неаутентифицированных интерфейсов через полученный список API.Через эти интерфейсы внутренние данные можно получать пакетами.
Этот потенциальный кризис должен был бить тревогу, но в августе 2020 года автомобильная компания снова столкнулась с аналогичным инцидентом, связанным с безопасностью. Владелец автомобиля рассказал, что в его приложении для управления транспортными средствами появились автомобили нескольких других людей. Хотя владелец автомобиля сообщил об этом в автокомпанию, автокомпания молча устранила проблему. После анализа «белые шляпы» согласились, что эта проблема является еще одной типичной уязвимостью интерфейса, связанной с отсутствием аутентификации.
С появлением облачных сервисов традиционная корпоративная архитектура сформировала в настоящее время общую форму гибридного развертывания «облако + локальное», а сетевая архитектура также изменилась в сторону гибридного развертывания. Традиционные средства защиты больше не являются достаточными для борьбы с угрозами в гибридном развертывании.
Суть нападения и защиты — асимметрия информации, а суть уязвимости — отсутствие эффективного контроля ввода и вывода данных. В текущей ситуации гибридного развертывания чрезвычайно важно «Я знаю, на каких входах и выходах активов моего предприятия есть проблемы».
Болевая точка отрасли: оцените, «сколько денег» у вас есть
Как решить эту проблему, у каждого предприятия есть свои разработки и практика. Однако, с точки зрения Alibaba Security, корень проблемы заключается в том, что компании не могут контролировать свои собственные активы в режиме реального времени, особенно те, которые находятся в структуре совместного размещения. Дело в том, что я «не знал», что у меня есть эти интерфейсы, или я «не знал», что с этими интерфейсами существуют проблемы безопасности.
Конечно, знать, какие у меня есть входы и выходы, недостаточно, оценивая бизнес-риски, я обнаружу, что не дано ответа на кучу вопросов:
l Насколько велик риск? Каково влияние?
l Какой объем охватывает текущая стратегия защиты?
l Как определить, эффективна ли стратегия?
l Есть ли какие-либо недостающие активы?
l Насколько есть возможности для улучшения?
На эту серию вопросов необходимо ответить конкретными данными по безопасности, но реальность совсем не оптимистична.
Разные типы данных об активах разбросаны по разным направлениям бизнеса.Во-первых, их сложно собрать и интегрировать.Во-вторых, их сложно понять и усвоить. В то же время сложно накопить опыт в целом. Трудно чтобы различные направления бизнеса могли повторно использовать бизнес-результаты друг друга.
Мы с нетерпением ждем такого "коллегу-ангела". У нее есть все необходимые мне "данные об активах". Она помогла мне сопоставить и проанализировать данные. Она также может преципитировать и маркировать данные в соответствии с бизнес-сценариями, которые она поддерживает. вы можете полностью повторно использовать ее методологию: ее можно не только использовать напрямую, но и свободно комбинировать по мере необходимости.
«Asset Blueprint» стремится стать таким «коллегой-ангелом».
Решение для проекта актива
В марте 2020 года Alibaba выпустила архитектуру безопасности нового поколения для цифровой инфраструктуры. В рамках новой архитектуры безопасности, когда мы переосмысливаем, как должна быть реализована защита безопасности, нам срочно нужна количественная движущая система, которую можно объяснить с помощью данных для обеспечения ввода данных. Самая большая цель этой системы — использовать данные для управления тенденциями в области защиты безопасности.
Blueprint — это система сбора активов, которая фокусируется на сортировке, инвентаризации и управлении крупномасштабными активами интрасети предприятия. Ее можно использовать для обнаружения различной базовой информации об активах, «отпечатков пальцев» активов и взаимосвязей потоков данных между активами в интрасети предприятия; она также обеспечивает многомерную маркировку.Список активов публикуется в виде каталога активов с тегами для быстрого создания различных требований к приложениям анализа, предлагаемых бизнесом, что позволяет активам перемещаться и использоваться, так что данные поступают от бизнеса и в конечном итоге используются. по бизнесу.
Строительство «Blueprint» на данный момент прошло четыре этапа:
Первый этап — базовая инвентаризация активов — требует четкой инвентаризации объема активов, их статуса, предотвращения и контроля безопасности, а также понимания хоста, приложения, хранилища, промежуточного программного обеспечения, цепочки поставок, исходного кода, разрешений и других связанных ресурсов внутри предприятия.
Второй этап, инвентаризация связанных активов, требует инвентаризации отношений доступа и отношений ассоциации между различными типами активов узлов.
Третий этап, инвентаризация активов крови, требует анализа путей потока данных в направлении север-юг (граница сети снаружи внутрь) и направлении восток-запад (межприкладные ресурсы, межузловой доступ) и составление схемы Граница диапазона и связь кровотока между активами.
Четвертый этап — инвентаризация активов с тегами. После того, как данные об активах соответствуют потребностям бизнеса, создаются целевые теги данных для максимизации их ценности.
Одна из причин, по которой Blueprint выбрала этот поэтапный план разработки, заключается в том, что каждый этап поддерживает друг друга, но результаты каждого этапа относительно независимы и достижимы. Преимущество состоит в том, что по мере завершения каждого этапа строительства результаты каждого этапа могут быть быстро доставлены и быстро использованы бизнесом. Например, на этапе инвентаризации «базовых активов» хосты и приложения могут быть быстро доставлены в бизнес. для инвентаризации активов. После завершения инвентаризации основных активов можно установить связь между хостом, приложением, доменным именем и ответственным лицом, чтобы можно было быстро выполнить реагирование на чрезвычайные ситуации и отслеживание. Весь рынок активов позволяет деловым сторонам четко видеть текущую полную картину активов и даже видеть текущий уровень безопасности, уровень управления активами и соответствующие риски на рынке.
Инвентаризация активов родословной увеличивает ценность всей системы. Если первые два узла представляют собой логистическую поддержку, то после третьего этапа чертеж стоит в окопе с передовой командой безопасности и может напрямую выводить цифровые «боеприпасы». После обнаружения атаки на основе атакуемого IP-адреса сотрудники службы безопасности могут быстро определить области воздействия первого и второго уровня, на которые может повлиять сервер, и быстро оценить риск атаки на основе уровней приложения, соответствующих затронутые машины первого и второго уровня.
Вызовы и риски
Хотя можно сказать, что внутренняя разработка проекта проходит гладко, занимая «нужное время, правильное место и нужных людей», в реальном развитии она по-прежнему сталкивается с огромными проблемами.
Задача 1: «Полезно»
Никто заранее не знает, какие данные об активах нужны бизнесу.
Когда деловым сторонам необходимо провести инвентаризацию активов, в большинстве случаев необходимые данные об активах являются большими и сложными, включая не только четко определенный диапазон активов, но и взаимоотношения в цепочке поставок, специальное промежуточное программное обеспечение, структуры нишевых кодов и т. д. Отсутствие данных означает, что бизнес-сторона не может быть эффективно поддержана. В дополнение к стандартизированному процессу вывода данных об активах (приложение самообслуживания данных, интерфейс или просмотр выходных данных об активах) для удовлетворения потребностей большинства предприятий, проект также требует доступа к индивидуальным потребностям, что не ясно для деловых сторон. Что касается требований к данным об активах, необходимо провести детальную коммуникацию с бизнес-стороной, а необходимые данные об активах должны быть поняты вместе с бизнесом.
Наконец, затем план ищет и вводит или создает данные об активах, необходимые бизнес-стороне. В этом процессе, с одной стороны, он удовлетворяет потребности бизнеса, а с другой стороны, он также заполняет пробел в данных об активах. самого чертежа.
Задача 2: «Осмелитесь использовать»
Без точных данных нет никакой ценности.
Фактически, многие компании провели инвентаризацию активов, но большинство из них «не внедрили ее». Основная причина заключается в том, что данные об активах не являются «точными» (точными и отозванными), или восходящие активы не отзываются точно, что приводит к невозможности стабильного использования перерабатывающего бизнеса.
Решение, предусмотренное планом, заключается в инвестировании соответствующих ресурсов в строительство квази-чжао. Опираясь на собственный опыт в проверке данных об активах, компания разработала настраиваемую автоматизированную систему проверки с характеристиками чертежа.Эту систему можно использовать для выполнения следующих проверок и вызовов:
l Базовый мониторинг качества, в основном включая определение правил конфигурации, а также мониторинг и обработку сигналов тревоги на предмет полноты, точности, последовательности и своевременности. Правила делятся на общие правила и специальные правила.
l Перекрестная проверка из нескольких источников позволяет сравнивать и проверять данные из нескольких источников, а также данные об активах и ссылках, точный расчет стоимости вызовов, мониторинг аномальных данных и обработку сигналов тревоги, а также поддерживает специальный SQL для удовлетворения разнообразных потребностей операций в перекрестной проверке.
l библиотека эталонных образцов, поддерживает осаждение образцов и использование ресурсов и ссылок, а также поддерживает перекрестную проверку и проверку сканирования на основе библиотеки образцов.
l Процесс проверки вручную. Для вещей, которые невозможно проверить автоматически, вкладываются аутсорсинговые ресурсы, берется определенное количество образцов и проводится ручная проверка.
Задача третья: «Простота в использовании»
Ценность данных об активах заключается не в листинге, а в обработке.
Даже если есть полные данные об активах и данные о каждом активе могут быть точными, если это всего лишь простой список, результаты инвентаризации не будут иметь большой ценности. Стоимость инвентаризации активов должна быть отражена в результатах корреляции и обработки.
Очевидно, что Blueprint не будет позиционировать себя как простая платформа для накопления данных об активах, но то, как достичь эффекта усиления 1+1>2, всегда было сложной проблемой в области инвентаризации активов. Вход в проект — данные о родословной.
Благодаря возможности анализа кода самостоятельно созданной кровной линии можно выполнить автоматический анализ кода приложения, извлечь такую информацию, как вызовы интерфейса, использование промежуточного программного обеспечения, использование БД и т. д., в приложении, а затем объединить ее с трафиком, данными приложения и другая информация для создания ссылок на вызовы и каналов передачи данных.Дорожные данные не только решают проблему описания пути потока информации на границе север-юг, но также улучшают путь потока информации между приложениями восток-запад.
Затем объедините онлайн-информацию, офлайн-информацию и анализ кровного родства между офлайн-информацией, чтобы сгенерировать данные о кровном родстве и понять путь потока данных в БД.
Наконец, канал передачи данных/вызова приложения в сочетании с данными о происхождении данных действительно реализует всенаправленный анализ пути потока данных от интерфейса к базе данных.
Большая часть ценности данных принадлежит второму пользователю.
На основе стандартизированных базовых данных он создает теги активов с бизнес-атрибутами, повторно использует многосторонние бизнес-эффекты и максимизирует ценность управления бизнесом.
Например, при обслуживании бизнес-сценариев риска безопасности контента схема помечает интерфейсы с логикой добавления и изменения контента на техническом уровне, а затем маркирует интерфейсы в зависимости от конкретного использования в бизнесе. Схема объединена с улучшенной логикой для обозначения других интерфейсов. В другом проекте эта партия интерфейсов добавления и изменения тегированного контента может быть напрямую использована в качестве установленной области интерфейса и может быть сосредоточена на вторичной проверке в соответствии с потребностями бизнеса. Это не только максимизирует повторное использование бизнес-ценности, но и действительно обеспечивает повторное использование. От дела к делу.
Обеспечьте безопасность операций
На протяжении четырех этапов разработки план опирается на массивные данные об активах для создания системы инвентаризации активов в рамках гибридной облачной архитектуры, помогая деловым сторонам использовать данные об активах для выполнения различных бизнес-задач, таких как инвентаризация активов, идентификация рисков и т. д., а затем предоставлять стандартизированные планы использования активов.Предоставлять бизнес-участникам надежный, удобный и эффективный доступ.
В конечном итоге Alibaba Security надеется стимулировать создание Alibaba Security посредством объективной инвентаризации активов.
Оригинал статьи предоставлен компанией AliCloud Security, при воспроизведении ссылка на источник обязательна: https://www.cncso.com/ru/alibabas-data-asset-blueprint.html.
