对网空测绘数据的一点思考
引言
(网络空间测绘技术的实践与思考 系列之三)
网络空间测绘是一种工程化的技术,名义上是汇集了网络技术、协议分析技术、大数据技术、应用安全技术、可视化技术的综合性创新性技术,实际上测绘工程化的落地和实践,都围绕着核心一点:数据。
数据不仅是一种资源,更是一种生命的体现。
通过广泛而迅速的采集、深度的分析和及时的应用,我们能够为数据赋予价值,让其焕发出生命的光芒。我们深信,数据是有生命力的。
通过与互联网上的开放服务构建连接,我们将协议,地址和端口信息构建为一个组合,这个组合定义了一个互联网上开放服务的入口,因此得以统计,分析和评价这一入口的属性、状态和安全性。
在上述测绘的过程中,会产生大量的过程数据和结果数据。这些数据包括但不限于数字资产识别与脆弱性侦测业务、面向特定区域的网络情报分析挖掘业务、关基监管、挂图作战和态势感知业务、实战攻防演练和靶场业务,以及对网络空间新风险的定义和分析等。通过对这些数据进行分析,可以得出很多有价值的结论,例如网络空间资源的状态变化、网络行为和上层人类意图等。
一、 采集更多数据
360 Quake基于独创的Vscan网络空间测绘引擎技术,以及360安全大数据中的漏洞/威胁情报/DNS/IP等安全数据和基础数据,面向网络空间进行资产测绘,感知漏洞所影响的风险,协助追踪和分析高级威胁攻击,通过数据关联和分析最终形成多维度可视化的网络空间地图,进一步结合人工智能算法模型显著提升识别率,并配合多种任务策略与计算基础设施组合,实现全网动态资产测绘,全方位地发现测绘资产的漏洞风险。
我们的远期目标是与网络空间中所有的开放服务都构建一个连接关系。
从技术角度来看,传统的数据采集方式,主要来源于终端采集或流量采集。
1. 终端采集可视为低位来源的数据,如同网络空间中的侦察兵,其优势是数据精细,准确,质量好,有细节且可以灵活采集;劣势在于终端依靠终端数据采集探针的覆盖量,如果没有覆盖到就存在部分终端数据的缺失风险,并且面向境外采集的终端数据探针的留存存在一定的对抗风险。
2.流量采集可视为中位来源的数据,如果网络空间中的无线电侦听,其优势在于掌握了数据通道就掌握了源头的所有通联数据,其准确性和及时性都比较好;但劣势在于加密通讯的比例越来越高,虽然也有一些先进的技术手段可以从密文通讯中获取到一些信息和分析,但对大多数的明文信息缺乏解密解析的手段。另外流量采集只有国家级有关单位可以进行,并不是一种普遍性的采集手段。
3.测绘数据采集相比前两种方法,可以视为一种高位数据采集能力,好比预警雷达或遥感卫星。其优势在于可以主动实时的采集数据,并且数据是真实且客观的。但劣势在于测绘技术受限于资源的投入,需要大量的数据治理工作,否则精细度不高。
原来有种说法叫做云管端,某种意义上,正好对应了高中低三个方位的数据,这里需要重点指出的是:数据的来源方位有高低,并不代表数据能力的高低之分。
理想的数据采集是集合了高中低位的优势,获得全面,准确,及时的所有数据。
二、数据转化知识
在网络安全领域,网络空间测绘数据的分析可以帮助我们了解网络攻击的特点和趋势,从而更好地防范和应对网络攻击。例如,通过对网络空间资产的探测和分析,可以发现潜在的安全隐患和漏洞,进而采取相应的措施进行修复。此外,网络空间测绘数据还可以用于评估网络安全政策的效果,为网络安全政策的制定和调整提供依据。
全球安全服务资产分布的地区TOP10如图所示。其中,美国、中国、加拿大分别位列前三。我们看到美国部署了这个世界上78%的各类安全防护设备和服务,远远高于其他任何国家。
国内安全服务资产的地区TOP10分布如图所示。其中,香港、北京、浙江分别位列前三。我们看到香港部署了比北京还多的安全设备和服务。
在数字化管理应用领域,网络空间测绘数据的分析可以帮助企业和政府更好地管理其数字资产。例如,通过对物联网和工业互联网资产的监控管理,可以提高生产效率和降低安全风险。此外,网络空间测绘数据还可以用于评估数字化转型的效果,为企业和社会的数字化转型提供决策支持。
全球数据库资产分布的地区TOP10如图所示。其中,中国、美国、土耳其分别位列前三。我们看到中国的数据库资产比美国还多,那是因为中国大量采用了开源的数据库服务,而第三名是土耳其,土耳其的数据资产增速值得注意。
国内数据库资产分布的地区如图所示。其中,香港、北京、上海分别位列前三。我们看到香港依旧是中国数据库资产最多的地区,主要是因为很多跨国企业和国内企业在香港均有开放服务,机房数量多,所以IT资产也多。
我们同样能够看到全网暴露出来的疑似风险的状况,例如疑似数据泄露风险。
全球疑似暴露数据泄露风险的资产所在国家分布如图所示。其中,中国、美国、德国分别位列前三。中国暴露出来疑似有数据泄露风险的资产远远超过其正常数据库的占比。
全国疑似暴露数据泄露风险的资产所在地区分布如图所示。其中,北京市、浙江省、台湾分别位列前三。北京市的占比要高过其正常数据库资产的占比,而香港仅排名第七,这是因为香港大多数为跨国企业和国内大企业的开放服务,因此会遵循相对严格的风险控制要求,公开漏洞和数据泄露的占比相对较少。
在测绘定义网络领域,网络空间测绘数据的分析可以帮助我们实现对网络空间的更精细管理和控制。例如,通过对网络空间资源调度的分析和优化,可以实现灵活实时的联网资源调度和网络路径选择,以及弹性的可任意复制或折叠的自组织网络及其资源。
三、 客观真实的测绘数据
虽然测绘采集数据的方式是主动的,但测绘数据的核心价值在于其客观真实。
可以预计,在未来的十数年内,生成式人工智能(GANs)会得到全球范围内,各行业的大规模应用。这种趋势将为数字世界和现实世界不可避免的带来一些问题,包括大规模的真实数据匮乏的问题,这种情况具体可能表现在,
l 数据合成:生成式模型可以用于合成各种类型的数据,包括图像、文本、音频等。但是,由于生成式模型是基于已有数据训练得到的,生成的数据可能与真实数据存在一定的差异,尤其是在模型训练不充分或者训练数据不足的情况下。
l 数据偏差:生成式模型可能会学习到训练数据的某些特定特征或偏差,导致生成的数据偏离真实数据的分布。这可能会影响到生成数据的质量和真实性,使得生成的数据不够真实。
l 数据稀缺:在某些领域,真实数据可能比较稀缺或者难以获取,这可能限制了生成式模型的应用。特别是在一些新兴领域或者涉及到隐私敏感信息的场景下,真实数据的获取可能受到限制。
面对可以预计的未来真实数据困境,网络空间测绘技术可能是打开真实空间大门的一把钥匙。
通过与互联网上的开放服务构建连接,我们将协议,地址和端口信息构建为一个组合,这个组合定义了一个互联网上开放服务的入口,因此得以统计,分析和评价这一入口的状态和安全性,那么这个评价很大程度上是基于真实状态和实时获取的,也就保证了探测采集数据的客观真实性和实时性。
例如,如果对某种类型的服务真实部署数量做一市场调研,相比生成式数据或采样,测绘技术可以列出在某一时间段,或某一区域范围内,该类型真实开放服务的具体数量和统计。举一个例子,对于WAF防火墙,硬件、软件、云WAF一起算,我们测绘探知当前中国实际应用最多数量的WAF防火墙厂商的前三名,分别是:阿里云,华为云和安全狗,并没有一些传统安全厂商,与机构市场调报告也并不相符。
如果说物理空间中传统测绘技术的发展,是来自于人们对于耕地,出行和战争的需求,那么网络空间测绘技术的发展,则是为了方便在互联网上找到服务资源,获取数据以及这个空间的对抗或战争。测绘技术就是应对这一系列需求的最有价值的工具之一,其核心价值就是客观真实的数据。而测绘的意义也不仅仅限于网络安全,对于指导网络基础设施的部署,提高网络运行的效率,都有重要的作用。随着进一步的发展,网络空间测绘也将和实体空间测绘交相辉映,成为人类了解世界、了解自我的一面镜子。
“
添加管理员微信号:quake_360
备注 您的账号 邀请加入技术交流群
