被攻击目标全息画像

知己知彼，在攻击源画像的基础上，采用“主被动”协同机制，对被攻击目标进行画像，也是至关重要的一个环节。其中：

• 被动手段：依托网络流量分析，以拓扑图的方式展现资产类型、位置、通联关系等。
  

• 主动手段：通过探测获取目标的漏洞及脆弱性信息，必要时现场取证。
  

    通过融合主被动获取的数据，对被攻击目标实现基础信息、行为画像、风险画像、影响损失四大维度的准确描述，逐步进阶形成完整的被攻击目标全息画像。

01  基础信息

基础信息包括但不限于如下：

• 实体属性：IP地址、主机名、地理位置、操作系统类型、厂商、型号、图标信息、设备类型（网络安全设备、网络设备、管理服务器、应用服务器、业务服务器）等等。

• 网络属性：开放的端口、开放的服务。

• 应用组件：承载的各种应用、版本等。
  

• 数据属性：拥有的数据类型、数据格式、敏感数据的存储位置等。

• 归属属性：资产归属单位信息、人员信息等。
  

• 网络拓扑：将资产信息、物理位置、网络行为等数据以网络拓扑视图展示。
  

• 
  

02 行为画像

    基于流量分析的网络行为画像，包括：

• 通联关系：包括IP流量、IP连接数、通联的域名、通联的IP、访问的应用等。
  

• 行为基线：是画像很重要的一个维度，比如：以IP为对象的文件访问基线、以IP为对象的http请求异常、以IP为对象的流量基线、以IP为对象的域名访问基线、以IP为对象的网络通联基线、以IP为对象的访问端口基线等。

03 风险画像

    多维度的风险画像：

• 异常行为：新开放的端口、新增IP、新访问的域名等；这里可以基于行为基线来发现。

• 可疑行为：包括一些典型的网络行为比如短URL链接、恶意域名访问、恶意IP访问、恶意服务器SSL证书、主动外联、横向移动等。

• 脆弱性数据：横向关联目标主动探测的脆弱性或漏洞信息，漏洞信息可以和攻击payload进行关联分析。

• 威胁情报信息：横向关联相关的威胁情报信息。
  

• 攻击面：ASM是近来比较火的一个概念，从攻击者视角来看暴露面，包括在外应用服务、设备、端口、应用等。

  
  

04 损失影响

• 现场取证：通过主机取证工具对目标的进程分析、文件分析和日志分析等数据或分析结果。

• 损失情况：丢失了什么数据；被窃取的信息资产有哪些类型：比如业务的登录凭证（如账号名、账号状态、密码）、业务数据（文件列表、短信、照片、视频文件、音频）b；被窃取的数据数量有多少等。

  
  

平台访问地址：https://ti.watcherlab.com/

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：被攻击目标全息画像