数字资产指纹
在互联网数字资产管理中,数字资产指纹就是数字资产的“身份证”,也是信息系统安全管理工作的基础。通过网络资产探测(指纹)可以在0day(通常是指还没有补丁的漏洞)爆发时快速匹配到受影响的信息系统;还可以发现违规开放的资产,为安全运营管理提供便利,确保安全制度的稳健实施。
目前常规的指纹识别技术主要分为两种:一种是针对HTTP的指纹识别,通过对URL请求得到的各种响应信息进行特征匹配,从而判断指纹;另一种是针对TCP/IP协议栈的指纹识别,我们可以通过向对方发送一系列精心设计的报文,分析对方响应,从而判断指纹。
数字资产指纹有哪些类型
具体的资产指纹类型主要包括:服务器的账户、监听端口、运行进程信息、中间件信息、数据库信息、Web服务信息、软件资产、周期性执行的任务路径信息、启动项信息、内核模块信息、Web站点信息。
服务器的账户
具体包括服务器信息(包括服务器名称和IP地址)、账号、ROOT权限、用户组、账户密码的到期时间、密码是否过期、密码是否锁定、用户是否过期、是否sudo账号、是否交互登录账号、上次登录
监听端口
监听端口所对应的信息:服务器信息、端口、网络协议、PID、对应进程、IP
运行进程信息
具体包括:服务器信息,进程名,进程的启动路径,启动参数,启动时间,运行用户,运行权限,PID,父进程PID,进程文件的MD5值,是否使用安装包内的进程,进程状态
中间件信息
具体包括:服务器信息,中间件的名称,中间件的所属类型,运行时环境版本,原中间件的版本号,PID,启动路径,版本验证信息,父进程PID,运行用户,监听IP,监听端口, 监听状态, 监听端口协议, 启动时间,进程命令行,中间件所在的容器的名称,中间件所在的镜像的名称,中间件启动配置所在的绝对路径
数据库信息
具体包括:服务器信息,数据库的名称,数据库类型,数据库版本,PID,启动路径,版本验证信息,父进程PID,运行用户,监听IP,监听端口, 监听状态, 监听端口协议, 启动时间,启动命令行,数据库所在的容器的名称,数据库所在的镜像的名称,数据库启动配置所在的绝对路径
Web服务信息
具体包括:服务器信息,Web的名称,Web服务类型,Web版本,PID,启动路径,版本验证信息,父进程PID,运行用户,监听IP,监听端口, 监听状态, 监听端口协议, 启动时间,启动命令行,Web服务所在的容器的名称,Web服务所在的镜像的名称,Web服务启动配置所在的绝对路径,Web配置网页的路径
软件资产
具体包括:服务器信息, 软件名称,版本,软件启动路径,软件更新时间
服务器上周期性执行的任务路径信息
具体包括:服务器信息,计划任务执行的命令行,任务周期,计划任务进程的HASH,启动任务的账号
启动项信息
具体包括:服务器信息,启动服务所在的路径
内核模块信息
具体包括:服务器信息,内核模块的名称,内核模块文件的大小,内核模块所在的路径,其他依赖模块的数量
Web站点信息
具体包括:服务器信息,Web站点配置的域名, 站点类型, 端口, WebHome目录的路径, Web配置中根目录的路径, Web服务的启动用户, Web目录的权限, Web启动的监听协议, PID, 启动时间, Web站点所在的镜像的名称, Web站点所在的容器的名称。
我的每一篇文章都希望帮助读者解决实际工作中遇到的问题!如果文章帮到了您,劳烦点赞、收藏、转发!您的鼓励是我不断更新文章最大的动力!
