01 背景

應用資產(chǎn)關(guān)系梳理及拓撲測繪在安全運營工作體系的戰(zhàn)略層面和戰(zhàn)術(shù)層面都起著重要的支撐作用。然而隨著企業(yè)業(yè)務需求的不斷增長，各企業(yè)建設的應用系統(tǒng)數(shù)量也隨之增長，一個業(yè)務系統(tǒng)所涉及的應用數(shù)量可能高達幾百甚至上千個，這些應用系統(tǒng)之間的依賴交互越多，應用系統(tǒng)的關(guān)系就越復雜，整個業(yè)務系統(tǒng)的邏輯也更為復雜。

對于安全能力成熟度非常高的企業(yè)，通常會有一套有效的資產(chǎn)安全生命周期管理辦法。但目前大部分企業(yè)由于管理人員變更和資產(chǎn)維護不到位，在資產(chǎn)方面或多或少存在一定的死角。

在業(yè)務系統(tǒng)出現(xiàn)異常或被惡意攻擊時，企業(yè)IT管理員都需要一個準確且盡可能完整的業(yè)務系統(tǒng)拓撲，從而快速定位故障點并及時處理已發(fā)生的安全事件。通過分析全流量數(shù)據(jù)信息，即可滿足這一需求。

本文將從實際安全運營項目中總結(jié)出的經(jīng)驗出發(fā)，講述應用資產(chǎn)關(guān)系梳理及拓撲測繪的具體思路及步驟，幫助大家在實際工作中靈活運用。

02 前提條件

在部署應用系統(tǒng)的各網(wǎng)絡區(qū)域內(nèi)提前部署流量采集分析系統(tǒng)，通過收集核心、匯聚甚至接入交換機收發(fā)的網(wǎng)絡流量數(shù)據(jù)，并對其進行分析，從而計算出一張準確且完整的業(yè)務系統(tǒng)拓撲。數(shù)據(jù)采集方式有以下3種：

1、NetFlow：網(wǎng)絡設備開啟Netflow功能，并將Netflow信息導出至Netflow收集器，建議Elastic Stack。

2、Zeek&suricata：通過采集網(wǎng)絡設備的鏡像流量，解析網(wǎng)絡流量中的關(guān)鍵信息，并將這些關(guān)鍵信息以JSON的格式存在文本文件中。

3、Arkime：通過采集網(wǎng)絡設備的鏡像流量，解析網(wǎng)絡流量中的關(guān)系信息，并將這些關(guān)鍵信息直接寫入Elasticsearch數(shù)據(jù)庫中。

03 應用交互關(guān)系梳理建議

1、訪問源梳理：根據(jù)給定IP地址，查詢訪問該IP的所有源IP地址，并過濾掉互聯(lián)網(wǎng)地址，獲得該應用節(jié)點的受眾對象。

2、訪問目的梳理：根據(jù)給定IP地址，查詢該IP訪問的所有目的IP地址，并過濾掉互聯(lián)網(wǎng)地址，獲得該應用節(jié)點的服務對象。

3、Zeek/Suricata/Arkime的數(shù)據(jù)來源為網(wǎng)絡鏡像流量，如果系統(tǒng)沒有收到TCP的SYN包時，會導致源目IP地址對調(diào)，可以通過限制目的端口數(shù)值，確保查詢結(jié)果的精確性。

4、在存在大量多層級調(diào)用關(guān)系的業(yè)務系統(tǒng)時，建議先通過應用關(guān)系梳理工具將每一層級的調(diào)用關(guān)系梳理完畢，再通過人工調(diào)研判斷的方式固定好業(yè)務拓撲，在后續(xù)調(diào)用該業(yè)務拓撲時，應用關(guān)系梳理工具自動查詢每一個節(jié)點上的交互，即可了解業(yè)務拓撲的準確變化。

5、如果存在與固定公網(wǎng)地址通信的應用，通過查詢條件包含相關(guān)通信地址即可。

04 實際效果

以分析Arkime系統(tǒng)的數(shù)據(jù)為基礎，調(diào)用Arkime的API接口，將需要展示業(yè)務系統(tǒng)拓撲的特定業(yè)務IP地址、查詢的時間范圍以及為保證數(shù)據(jù)結(jié)果的精確性設計的數(shù)據(jù)過濾語句作為數(shù)據(jù)分析條件提交至Arkime系統(tǒng)，業(yè)務系統(tǒng)分析程序?qū)⒎祷氐臄?shù)據(jù)結(jié)果進行格式化，即可將業(yè)務系統(tǒng)拓撲展示至畫布中。

05 總結(jié)

當應用系統(tǒng)運行異常，或出現(xiàn)滲透攻擊時，一份準確、真實的應用拓撲圖，往往能讓安全團隊的工作效率得到極大的提升。用戶數(shù)據(jù)中心運行著幾百上千套應用系統(tǒng)，此時如果通過人工維護拓撲信息，則需要投入極大的人力成本，并且極可能出現(xiàn)維護信息不準確的情況。但通過流量以及遙測數(shù)據(jù)基于真實業(yè)務調(diào)用訪問數(shù)據(jù)，結(jié)合用戶的資產(chǎn)管理系統(tǒng)數(shù)據(jù)，可自動生成各應用系統(tǒng)真實、準確的應用拓撲圖。還有一些優(yōu)勢例如當應用出現(xiàn)變更，如新增應用節(jié)點或訪問關(guān)系發(fā)生變化時，系統(tǒng)可自動更新拓撲，并為應用端到端追蹤分析攻擊者滲透后的內(nèi)網(wǎng)橫向及縱向移動行為，為后續(xù)的應急響應工作提供真實準確的數(shù)據(jù)支撐。

資產(chǎn)關(guān)系拓撲是整個資產(chǎn)運營模塊的重要組成部分，可以快速地、全面地、準確地展示資產(chǎn)關(guān)系，有效的做好資產(chǎn)梳理是企業(yè)資產(chǎn)安全建設的基石。