奇安信集團 - 一眼「看清」北京冬奧網絡資產，這個平台你一定要知道！－鑽石舞台

近日，奇安信冬奧網絡安全「零事故」經驗分享會仍在如火如荼地舉行，通過對網絡安全「零事故」經驗和「中國方案」的分享，樹立起我國關鍵信息基礎設施、重要活動的網絡安全保障工作的標杆。北京冬奧會網絡安全「零事故」的成績，代表着網絡安全「中國方案」勝利，背後更是離不開監管態勢感知、運營態勢感知、攻防態勢感知「三合一」實戰化態勢感知在冬奧舞台上的「同框發力」。其中，奇安信網絡空間測繪鷹圖平台作為攻防態勢感知中的一部分，在冬奧會期間，承擔着「繪製防禦面地圖」的重要職責。

知己知彼

「雲測繪+雲監測」為網絡安全加上雙保險

北京冬奧會是全球熱點，也是網絡攻擊的重點，外部攻擊與內部威脅並存。此外，本屆冬奧會應用了人工智能、物聯網、5G、雲計算等大量新技術、黑科技，世界多國、多地、多機構、多業務系統、多架構相連，整個冬奧會網絡環境更加開放，這樣一來，對網絡安全「零事故」的考驗則更加嚴峻。

一直以來，網絡資產管理都是行業很難解決的痛點問題，對於北京冬奧會來說同樣如此。奇安信網絡空間測繪鷹圖平台可以通過部署在全球各地的自研智能引擎，24小時不間斷地掃描和識別全球暴露在互聯網上的服務器和設備。在冬奧會籌備前期與正式舉辦期間，工作人員通過奇安信網絡空間測繪鷹圖平台，梳理暴露在互聯網上的冬奧會相關資產。

圖鷹圖平台-監管大屏-奇安信資產概況

冬奧項目的工作人員將搜集到的資產，線下梳理整合後，錄入雲監測平台。由鷹圖平台雲監測平台負責對目標資產進行24小時不間斷、高效、精準的各項監測，包括漏洞檢測、可用性監測、網頁內容篡改監測、黑鏈監測、掛馬監測。據統計，在冬奧會期間，鷹圖平台雲監測平台共發現冬奧會相關資產告警共605條，其中可用性告警130條、網頁內容篡改253條、漏洞告警1條、網站黑鏈220條、違規內容1條。冬奧活動期間，鷹圖平台運營人員7x24小時在線，確保在告警產生後5分鐘內完成驗證並通知客戶應急響應。

就在冬奧會舉辦期間，一個重大漏洞【GitBlit 未授權源代碼訪問漏洞】被披露。作為一個純Java編寫的代碼管理平台，GitBlit存在默認管理員密碼，默認權限允許任意用戶執行查看及下載操作，導致部分單位的源代碼直接暴露在互聯網上。據了解，該漏洞影響全球IP共計43,445個，關聯域名數共計32,918條；影響全國IP數共計21,715個，關聯域名數共計16,453條，關聯備案資產數共計12,599條。

值得注意的是，這一漏洞已經被黑客組織利用，攻擊我國境內多家政企組織，竊取部分源代碼在境外論壇非法售賣，嚴重威脅了各行業政企組織的網絡安全，也為北京冬奧會帶來巨大的安全風險。

該漏洞披露後，就在當各企業還在等待安全廠商提供POC時，鷹圖平台的運營人員已經在1小時內完成了全球漏洞暴露面的梳理，並將漏洞相關威脅情報推送至作戰指揮中心平台，由相關人員在第一時間內通知到冬奧會資產責任人，進行下線整改。通過這種方式與時間賽跑，最大程度縮短暴露面時間，有效降低風險。

三大優勢

鷹圖平台助力政企客戶解決資產管理難題

近幾年，隨着數字技術的快速發展，企業加速數字化轉型，數字資產呈現爆發性的增長趨勢。在這一背景下，不少政企組織的部分資產暴露在互聯網側，在未做好管理的情況下，無疑是間接為網絡攻擊者大開方便之門。

早期，政企組織的安全運營人員缺少對應的工具，部分企業想要開發工具，但苦於自建成本過高；如今有了工具，但運營人員也只能通過一條條語法來查詢資產，對企業用戶和監管用戶來說，上手成本高，既不方便又不直觀。

針對上述問題，鷹圖平台又是通過怎樣的核心功能解決的？它的優勢是什麼？

其一，企業資產暴露面全景圖。

鷹圖平台基於實戰場景設計IP詳情、證書詳情等專精頁面，並從攻擊者視角出發，推出企業詳情頁，展示企業暴露在互聯網上的資產概況、資產分類、問題資產；同時在精細化運營指紋的基礎上，結合機器學習推出高精度資產標籤，快速梳理暴露在互聯網側的資產，例如後台登錄頁、OA管理系統、主機面板、防火牆設備等，幫助政企單位一眼掌握資產全貌。

圖以奇安信集團為示例

其二，宏觀視角監視地市資產。

針對存在日常區域資產管理需求的監管用戶，鷹圖平台推出了【監管專題】，支持從省市視角查看管轄範圍內的資產數據，可查看的數據包括但不限於區域資產數量、漏洞暴露面、ICP備案率統計、應用組件專題等，讓監管用戶能夠對管轄範圍內的企業單位的互聯網資產，進行精細化管理。鷹圖平台輔助監管用戶，通過數據驅動資產責任單位進行整改，幫助監管用戶解決面對海量問題數據無從下手的困境。

其三，資產搜集更快更全。

鷹圖平台通過掃描並識別全球範圍內鏈接互聯網的服務器與設備，將虛擬的網絡空間與地理空間、社會空間相結合，用戶可以在平台上查詢到資產所屬的企業和歸屬地。資產類型除域名、服務器、網站外，還可以探測到數據庫、應用軟件、網站服務組件、網站框架等資產（資產定義參考《GBT 20984-2007 信息安全技術信息安全風險評估規範》）。