攻防演练之资产收敛

2023-09-18 19:45:14 浏览数 (1)

前 言

据说今年的攻防演练马上又要开始了,很多企业都开始了前期的准备工作。资产的梳理,暴露面收敛是前期必须做且要做好的工作。

不知道大家有没有听过一个木桶原理“由多块木板构成的木桶,其价值在于其盛水量的多少,但决定木桶盛水量多少的关键因素不是其最长的板块,而是其最短的板块”。其实在攻防领域也是这样,一个企业安全的好坏不在于某一方面你做的有多好,而在于那些方面还没有做好。只要你在某些方面还存在短板,那么就可能会被攻破。

那么护网前的资产梳理,暴露面收敛就是帮忙找到短板,可见其重要性,接下来就让我们一起来看看都要梳理那些资产。

原 则

资产收集的原则是所有的资产都在管控中,不存在暗资产;一切与公司相关的信息,包括域名,端口,IP,应用组件,github信息,人员信息等

收敛的原则就是最大化收敛,最小化暴露。

互联网中的影子资产

这部分的资产有域名,端口,IP,组件,VPN入口等资产。每次在护网前都感觉自己做的资产已经很全了,可每次都会被发现依然存在很多没有在管控范围内的资产。

事后总结了一下可能得原因:

1)域名的DNS解析下了,服务器上的文件没有下线,导致可以直接通过IP去访问

2)绕过了正常的发布流程,直接去发布应用

3)项目组在云上了搭建了项目,挂的是公司的域名

排查时一定要注意下面的几点:

  • 从各种搜索引擎排查是否存在没有纳入管控的域名,如fofa,钟馗之眼,百度,谷歌,github等
  • 排查每个域名使用的组件,数据库,中间件是否存在已知漏洞
  • 弱口令治理,排查各种管理系统是否存在弱口令
  • 端口原则上来说只能开放80,443,除了这两个端口以外,其它任何开启的端口都要看其是否通过审核。
  • VPN入口要开启双因素认证
  • 检查waf的防护情况,是否所有的域名都加入了防护,是否存在可以绕过防护的情况,如通过绑定IP直接绕过waf防护
  • 对开在公有云并且没有做过安全防护的域名临时做下线处理
  • 集权类系统(OA、邮件、堡垒机)除非必要收到内网,如果要开到公网,则必须做好权限管理。很重要的一点就是邮件的弱口令一定要进行排查,因为邮箱中会包含公司内的很多信息并可以用于钓鱼

敏感信息等数字资产的风险排查

攻击从来不都是纯技术的对抗,还是人与人之间的对抗。社工在攻击中占的比重也越来越大。攻击方会充分检索各类在互联网空间中的信息,并根据这些信息进行社工。这些有价值的数字资产也需要梳理排查。

组织架构信息

组织信息可能是必要的,但不宜暴露过多。过多的暴露可能会给攻击者提供额外的信息

人员信息

包括人员的邮箱,姓名,人员兴趣爱好等,过多的人员信息暴露会给社工提供方便,如在攻防中最常用的钓鱼。同时在搜索引擎中可以明确定位的员工,社工库泄露的员工,这些人员要进行特别提醒,防止被钓鱼。

社区敏感信息

github,gitlib,开源社区、网盘和文库泄露的业务代码、配置文件、敏感文档、人员信息、测试文档等

办公文件处理

办公文件处理也是非常最终的,一些包含重要信息的文件不能随意丢弃,否则可能会造成意想不到的损失。如最常见的随意丢弃到垃圾桶里面。

办公网入口的资产排查

随着攻击方式的多样化,使用近源渗透方式的也越来越多。近源渗透作为可落地的新型攻击形式,在近年的攻防演练中被多次利用。近源渗透是指攻击者物理入侵目标区域,利用无线网络、物理接口、智能终端等进行渗透。近源渗透犹如“堤溃蚁孔”一般,值得我们重点关注。

因此我们要在办公网区域重点排查:

无线网络(wifi)

1.无线节点是否存在弱密码,私接私搭无线节点

2.wifi是否做了访问控制,wifi网络是否可以直达核心网络。

3.wifi设备是否存在漏洞

网络接口

公司楼道,大厅等位置是否预留了网线接口,这些接口是否有做权限控制。

USB接口

排查外设的使用情况,现今各种设备都存在USB接口,如果未加防范,攻击者可以轻松接入接口,造成危害。如使用U盘钓鱼的方式,在目标附近丢撒U盘,目标相关的工作人员拾起使用后中招木马病毒。

智能设备

公司内的各种显示屏,取号机等设备都可以看成一个智能设备,说白了还是一台计算机,在存在漏洞的情况下,攻击者可绕过限制使用其进行网络攻击。因此要加强对这些设备的管控。

总 结

护网前的这些工作就是帮助我们把木桶的短板给补齐,同时也是对我们日常运营效果的一次总结。

0 人点赞