Mitte 2020 wird eine(umgangssprachlich) weißer HutDie Anmeldeinformationen, die von einem Backend-System eines neuen Energiefahrzeug-Unternehmens verwendet wurden, wurden auf GitHub gefunden, die einfach Base64-Verschlüsselung verwendet. Obwohl die Anmeldeinformationen nicht direkt in das entsprechende Back-End-System anmelden können, aber der weiße Hut durch den Griff der API-Liste, erfolgreich ein paar Schnittstellen ohne Forensik gefunden, durch diese Schnittstellen, können Sie Batch-Zugang zu Back-End-Daten.
Diese potenzielle Krise hätte ein Weckruf sein sollen, aber im August 2020 sah sich der Automobilkonzern mit einem weiteren Sicherheitsvorfall derselben Art konfrontiert. Autobesitzer meldeten, dass in ihrer Fahrzeugkontroll-App die Autos mehrerer anderer Personen aufgetaucht waren. Nachdem sich der Besitzer bei der Autofirma gemeldet hatte, wurde das Problem von der Autofirma stillschweigend behoben. Die White Hats analysierten das Problem und waren sich einig, dass es sich um eine weitere typische Schwachstelle der Schnittstelle handelte, der es an Forensik mangelte.
Mit dem Aufkommen von Cloud-Diensten hat sich die traditionelle Unternehmensarchitektur zu einer häufigeren hybriden Bereitstellung von Cloud- und lokalen Diensten entwickelt, und auch die Netzwerkarchitektur verlagert sich in Richtung einer hybriden Bereitstellung.
Das Wesen von Angriff und Verteidigung ist die Informationsasymmetrie, während das Wesen der Anfälligkeit das Fehlen einer wirksamen Kontrolle der Dateneingabe und -ausgabe ist. In der gegenwärtigen Situation des hybriden Einsatzes ist es äußerst wichtig, dass ich weiß, welche meiner Unternehmensressourcen problematische Ein- und Ausgänge haben.
Schmerzpunkt der Industrie: Bestandsaufnahme, wie viel Geld Ihre Familie wirklich hat
Wie dieses Problem zu lösen ist, hat jedes Unternehmen seine eigene Untersuchung und Praxis. Nach Ansicht von AliSecurity liegt die Wurzel des Problems jedoch darin, dass die Unternehmen nicht in der Lage sind, ihre eigenen Vermögenswerte in Echtzeit zu erfassen, insbesondere im Rahmen der Struktur der gemischten Abteilung. Das heißt, ich "weiß nicht", dass ich diese Schnittstellen habe, oder ich "weiß nicht", dass diese Schnittstellen Sicherheitsprobleme haben.
Natürlich reicht es nicht aus, zu wissen, welche Ein- und Ausgänge ich habe, und bei der Bewertung des Geschäftsrisikos bleiben wieder eine Reihe von Fragen unbeantwortet:
l Was sind die Risiken? Wie groß ist die Angriffsfläche?
l Wie viel ist durch die derzeitige Schutzstrategie abgedeckt?
l Woran können Sie erkennen, ob eine Strategie funktioniert?
l Gibt es fehlende Vermögenswerte?
l Wie viel Raum für Verbesserungen gibt es?
Diese Fragen müssen mit konkreten Sicherheitsdaten beantwortet werden, aber die Realität ist alles andere als ermutigend.
Verschiedene Arten von Anlagendaten sind über verschiedene Geschäftsbereiche verstreut, was es schwierig macht, sie zu sammeln und zu integrieren, sie zu verstehen und zu verarbeiten.
Wir freuen uns auf eine solche "Engelskollegin", sie hat alle "Asset-Daten", die ich benötige, in der Hand, hat mir geholfen, die Daten zu korrelieren und zu parsen, aber auch nach ihren eigenen Geschäftsszenarien, um den Niederschlag der Daten und die Beschriftung zu unterstützen, kann man sie komplett wiederverwenden! Sie können ihre Methodik komplett wiederverwenden, nicht nur direkt, sondern auch je nach Bedarf frei kombinieren.
"Asset Blueprint ist bestrebt, ein solcher "Engel-Kollege" zu sein.
Asset Blueprint Lösung
Im März 2020 veröffentlichte Alibaba seine Sicherheitsarchitektur für die digitale Infrastruktur der nächsten Generation. Wenn wir im Rahmen der neuen Sicherheitsarchitektur neu darüber nachdenken, wie die Sicherheitsverteidigung aussehen soll, besteht ein dringender Bedarf an einem quantifizierbaren Antriebssystem, das mit Daten veranschaulicht werden kann, um Dateninput zu liefern. Das wichtigste Ziel dieses Systems ist die Nutzung von Daten, um die Sicherheitsverteidigung voranzutreiben, was der Hintergrund für die Entstehung von Blueprint ist.
Blueprint ist ein System zur Erfassung von Vermögenswerten, das sich auf die Sortierung, Inventarisierung und Verwaltung von Vermögenswerten im Intranet von Großunternehmen konzentriert. Es kann verwendet werden, um alle Arten von grundlegenden Vermögensinformationen, Fingerabdrücken von Vermögenswerten und Datenflusslinien zwischen Vermögenswerten im Intranet von Unternehmen zu ermitteln, und stellt eine Liste von mehrdimensionalen, mit Tags versehenen Vermögenswerten bereit, die als Katalog von mit Tags versehenen Vermögenswerten freigegeben wird, um den schnellen Aufbau aller Arten von analytischen Anwendungsanforderungen zu erfüllen, die vom Unternehmen gestellt werden, damit die Vermögenswerte fließen und genutzt werden können und die Daten aus dem Unternehmen stammen und letztlich für das Unternehmen genutzt werden.
Die Erstellung der "Blaupause" erfolgt derzeit in vier Phasen:
In der ersten Phase, der grundlegenden Bestandsaufnahme, müssen Sie den Umfang der Bestände, den Status, die Sicherheit und die Kontrolle inventarisieren und den Host, die Anwendungen, den Speicher, die Middleware, die Lieferkette, den Quellcode, die Berechtigungen und andere zugehörige Ressourcen innerhalb des Unternehmens verstehen.
Die zweite Phase, Linked Asset Inventory, erfordert eine Bestandsaufnahme der Zugriffs- und Assoziationsbeziehungen zwischen verschiedenen Klassen von Knoten-Assets.
In der dritten Phase, der Bestandsaufnahme der Blutsverwandtschaft, werden die Datenflusspfade in Nord-Süd-Richtung (Netzgrenzen von außen nach innen) und in Ost-West-Richtung (anwendungsübergreifende Ressourcen, knotenübergreifender Zugriff) analysiert und die Grenzen zwischen den Vermögenswerten sowie die Beziehungen zwischen den Blutsverwandtschaften dargestellt.
In der vierten Phase, der Inventarisierung mit Tags, werden gezielte Daten-Tags hinterlegt, um den Wert zu maximieren, nachdem die Anlagendaten den Geschäftsanforderungen entsprechen.
Einer der Gründe, warum Blueprint diesen stufenweisen Entwicklungsplan gewählt hat, ist, dass jede Phase sich gegenseitig unterstützt, die Ergebnisse jeder Phase aber relativ unabhängig und lieferbar sind. Der Vorteil besteht darin, dass die Ergebnisse jeder Phase nach Abschluss des Aufbaus schnell an das Unternehmen geliefert werden können, damit es sie schnell nutzen kann. Nach Abschluss der Bestandsaufnahme der grundlegenden Vermögenswerte, die Einrichtung von Hosts und Anwendungen, Domain-Namen, die Person, die für die Korrelation zwischen der Beziehung kann schnell durchgeführt werden, Sicherheit Notfallmaßnahmen, Rückverfolgbarkeit und Lage. Die gesamte Bestandsaufnahme ermöglicht es der Geschäftsseite, das vollständige Bild der aktuellen Vermögenswerte klar zu sehen, und sogar die aktuelle Sicherheitsstufe, Asset-Management-Ebene und die entsprechenden Risiken durch das Inventar zu sehen.
Das Blutinventar ist ein Verstärker für den Wert des gesamten Systems. Wenn es sich bei den ersten beiden Knotenpunkten um logistische Unterstützung handelt, kann die Blaupause nach der dritten Stufe mit dem Sicherheitsteam an vorderster Front, das in einem Graben steht, direkt digitale "Munition" ausgeben. Sobald ein Angriff erkannt wird, kann das Sicherheitspersonal auf der Grundlage der angegriffenen IP-Adresse schnell die erste und zweite Einflussebene ausfindig machen, die von dem Server betroffen sein könnten, und das Risiko eines Angriffs auf der Grundlage der Anwendungsebene, die der ersten und zweiten Einflussebene entspricht, schnell bewerten.
Herausforderungen und Risiken
Obwohl die interne Entwicklung des Konzepts reibungslos vonstatten ging und das "Timing, der geografische Vorteil und die menschliche Harmonie" berücksichtigt wurden, steht es bei der tatsächlichen Entwicklung noch vor großen Herausforderungen.
Herausforderung 1: "Es funktioniert"
Niemand kann im Voraus wissen, welche Bestandsdaten das Unternehmen benötigen wird.
Wenn die Unternehmensseite eine Bestandsaufnahme der Anlagen vornehmen muss, werden in den meisten Fällen zahlreiche und unterschiedliche Daten benötigt, die nicht nur den Umfang der bereits definierten Anlagen umfassen, sondern auch die Beziehungen in der Lieferkette, spezielle Middleware, Nischencode-Frameworks usw. Keine Daten bedeutet keine effektive Unterstützung für die Geschäftsseite. Neben einem standardisierten Prozess zur Ausgabe von Asset-Daten (Daten-Selbstanwendung, Schnittstellen- oder View-Ausgabe von Asset-Daten), der den Anforderungen der meisten Unternehmen gerecht wird, benötigt Blueprint auch ein kundenspezifisches Bedarfsportal. Für Fälle, in denen die Unternehmensseite keinen klaren Bedarf an Asset-Daten hat, ist es notwendig, mit der Unternehmensseite im Detail zu kommunizieren und mit dem Unternehmen zusammenzuarbeiten, um die benötigten Asset-Daten zu verstehen.
Schließlich sucht der Blueprint die von der Unternehmensseite benötigten Anlagendaten und führt sie ein bzw. erstellt sie, wobei er einerseits die Bedürfnisse des Unternehmens erfüllt und andererseits die Lücken in den eigenen Anlagendaten des Blueprints schließt.
Herausforderung 2: "Wage es, zu benutzen"
Daten ohne Quasi-Anrufe sind wertlos.
In der Tat haben viele Unternehmen eine Bestandsaufnahme der Anlagen durchgeführt, aber die meisten von ihnen haben es nicht "geschafft". Die Hauptursache ist, dass die Anlagendaten nicht "auf Abruf" (genau und abrufbar) sind, oder dass die vorgelagerten Anlagen nicht auf Abruf sind, was dazu führt, dass die nachgelagerten Unternehmen sie nicht stabil nutzen können.
Die von Blueprint angebotene Lösung besteht darin, entsprechende Ressourcen in die Erstellung von Quasi-Aufrufen zu investieren. Auf der Grundlage seiner eigenen Erfahrung mit der Inspektion von Anlagendaten hat Blueprint ein konfigurierbares und automatisiertes System zur Inspektion von Quasi-Aufrufen entwickelt, mit dem die folgenden Inspektionen und Quasi-Aufrufe durchgeführt werden können:
l Überwachung der Qualitätsbasis, die hauptsächlich die Vollständigkeit, Genauigkeit, Konsistenz und Aktualität der Regeln für die Konfiguration des Niederschlags und die Überwachung der Beseitigung von Alarmen umfasst, wobei die Regeln in allgemeine Regeln und benutzerdefinierte Regeln unterteilt sind.
l Multi-Source-Cross-Validation, um mehrere Quellen und Asset-Daten & Link-Daten-Vergleich Überprüfung, Quasi-Recall-Wert-Berechnung, abnorme Daten Überwachung und Beseitigung von Alarmen, Unterstützung benutzerdefinierter SQL, um den Betrieb von verschiedenen Cross-Validation Bedürfnisse zu erfüllen.
l Benchmarking der Musterbibliothek, Unterstützung der Hinterlegung von Mustern und der Verwendung von Assets und Links, Unterstützung der Kreuzvalidierung und Scanning-Validierung auf der Grundlage der Musterbibliothek.
l Manuelle Überprüfung. Bei Dingen, die nicht durch Automatisierung verifiziert werden können, werden Outsourcing-Ressourcen investiert, um eine bestimmte Anzahl von Proben für die manuelle Quasi-Anrufverifizierung zu nehmen.
Herausforderung 3: "Es funktioniert"
Der Wert von Bestandsdaten liegt nicht in der Auflistung, sondern in der Verarbeitung.
Selbst wenn umfassende Bestandsdaten verfügbar sind und jeder Bestand quasi abgerufen werden kann, sind die Ergebnisse einer solchen Bestandsaufnahme wenig wertvoll, wenn sie einfach nur aufgelistet werden. Der Wert der Bestandsaufnahme muss sich in den Ergebnissen der Korrelation und Verarbeitung widerspiegeln.
Blueprint will sich natürlich nicht als einfache Plattform zum Stapeln von Vermögensdaten positionieren, aber die Frage, wie man den Verstärkungseffekt von 1+1>2 erreichen kann, war schon immer eine Herausforderung im Bereich der Vermögensinventarisierung. Der Einstiegspunkt von Blueprint sind die Daten der Blutlinie.
Durch die Code-Analyse-Fähigkeit der selbst erstellten Blut-Link, es vervollständigt die automatisierte Analyse von Anwendungs-Code, extrahiert die Informationen der Schnittstelle Aufruf, Middleware verwenden, DB verwenden und so weiter in der Anwendung, und dann kombiniert die Informationen des Verkehrs und der Anwendung, um den Aufruf Link und Daten Link Daten, die nicht nur löst die Darstellung der Grenze Informationsfluss Weg in der Nord-Süd-Richtung, sondern verbessert auch die Informationen Richtung Weg zwischen den Ost-West-Richtung Anwendungen.
Dies wird dann mit einer Blutlinienanalyse zwischen Online-Informationen, Offline-Informationen und zwischen Offline-Informationen kombiniert, um Blutliniendaten zu erzeugen und den Datenflusspfad innerhalb der DB zu erfassen.
Schließlich ermöglicht der Anwendungsdaten-Link/Call-Link zusammen mit den Daten der Blutbahn eine omnidirektionale Analyse des Datenflusses von der Schnittstelle zur Datenbank.
Ein Großteil des Wertes der Daten liegt im zweiten Nutzer.
Während Blueprint die Geschäftsseite bedient, berücksichtigt es aktiv die tatsächlichen geschäftlichen Nutzungsanforderungen und -erfahrungen, erstellt Asset-Labels mit Geschäftsattributen auf der Grundlage standardisierter Basisdaten, nutzt die Geschäftseffekte mehrerer Parteien wieder und maximiert den Wert der Business Governance.
Bei der Bereitstellung von Geschäftsszenarien mit Sicherheitsrisiken für Inhalte markiert Blueprint beispielsweise Schnittstellen mit einer Logik zur Inhaltsverbesserung auf technischer Ebene und kombiniert diese dann mit geschäftsspezifischen Anwendungsfällen, um Schnittstellen zu markieren. Blueprint kombiniert dann die verbesserte Logik, um andere Schnittstellen zu markieren. In einem anderen Projekt kann dieser Stapel markierter Schnittstellen direkt als etablierter Schnittstellenumfang verwendet werden, und je nach den geschäftlichen Erfordernissen kann der Fokus auf ein sekundäres Screening gelegt werden, nicht nur um eine maximale Wiederverwendung des geschäftlichen Werts zu erreichen, sondern auch um wirklich das Geschäft vom Geschäft für das Geschäft zu erreichen.
Sicherer Betrieb
Blueprint stützt sich in vier Entwicklungsphasen auf umfangreiche Asset-Daten, um ein Asset-Inventarisierungssystem im Rahmen einer hybriden Cloud-Architektur einzurichten. Es unterstützt die Unternehmensseite bei der Nutzung von Asset-Daten zur Vervollständigung der Asset-Inventarisierung, Risikoidentifizierung und anderen geschäftlichen Anforderungen und bietet dann eine standardisierte Asset-Nutzungslösung, um der Unternehmensseite einen zuverlässigen, bequemen und effizienten Nutzungskanal zu bieten.
Letztendlich hofft AliSec, dass die objektive Bestandsaufnahme die Konstruktion von AliSec vorantreiben wird. Genau wie die Karte der menschlichen Adern kann die Blaupause proaktiv Risikoprobleme durch eine klare Bestandsaufnahme identifizieren und ein Mittel werden, das jeder Sicherheitseinheit hilft, effektive Sicherheitsoperationen durchzuführen.
Originalartikel von AliCloud Security, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/alibabas-datenbestand-blaupause-html
