前 言
据说今年的攻防演练马上又要开始了,很多企业都开始了前期的准备工作。资产的梳理,暴露面收敛是前期必须做且要做好的工作。
不知道大家有没有听过一个木桶原理“由多块木板构成的木桶,其价值在于其盛水量的多少,但决定木桶盛水量多少的关键因素不是其最长的板块,而是其最短的板块”。其实在攻防领域也是这样,一个企业安全的好坏不在于某一方面你做的有多好,而在于那些方面还没有做好。只要你在某些方面还存在短板,那么就可能会被攻破。
那么护网前的资产梳理,暴露面收敛就是帮忙找到短板,可见其重要性,接下来就让我们一起来看看都要梳理那些资产。
原 则
资产收集的原则是所有的资产都在管控中,不存在暗资产;一切与公司相关的信息,包括域名,端口,IP,应用组件,github信息,人员信息等
收敛的原则就是最大化收敛,最小化暴露。
互联网中的影子资产
这部分的资产有域名,端口,IP,组件,VPN入口等资产。每次在护网前都感觉自己做的资产已经很全了,可每次都会被发现依然存在很多没有在管控范围内的资产。
事后总结了一下可能得原因:
1)域名的DNS解析下了,服务器上的文件没有下线,导致可以直接通过IP去访问
2)绕过了正常的发布流程,直接去发布应用
3)项目组在云上了搭建了项目,挂的是公司的域名
排查时一定要注意下面的几点:
- 从各种搜索引擎排查是否存在没有纳入管控的域名,如fofa,钟馗之眼,百度,谷歌,github等
- 排查每个域名使用的组件,数据库,中间件是否存在已知漏洞
- 弱口令治理,排查各种管理系统是否存在弱口令
- 端口原则上来说只能开放80,443,除了这两个端口以外,其它任何开启的端口都要看其是否通过审核。
- VPN入口要开启双因素认证
- 检查waf的防护情况,是否所有的域名都加入了防护,是否存在可以绕过防护的情况,如通过绑定IP直接绕过waf防护
- 对开在公有云并且没有做过安全防护的域名临时做下线处理
- 集权类系统(OA、邮件、堡垒机)除非必要收到内网,如果要开到公网,则必须做好权限管理。很重要的一点就是邮件的弱口令一定要进行排查,因为邮箱中会包含公司内的很多信息并可以用于钓鱼
敏感信息等数字资产的风险排查
攻击从来不都是纯技术的对抗,还是人与人之间的对抗。社工在攻击中占的比重也越来越大。攻击方会充分检索各类在互联网空间中的信息,并根据这些信息进行社工。这些有价值的数字资产也需要梳理排查。
组织架构信息
组织信息可能是必要的,但不宜暴露过多。过多的暴露可能会给攻击者提供额外的信息
人员信息
包括人员的邮箱,姓名,人员兴趣爱好等,过多的人员信息暴露会给社工提供方便,如在攻防中最常用的钓鱼。同时在搜索引擎中可以明确定位的员工,社工库泄露的员工,这些人员要进行特别提醒,防止被钓鱼。
社区敏感信息
github,gitlib,开源社区、网盘和文库泄露的业务代码、配置文件、敏感文档、人员信息、测试文档等
办公文件处理
办公文件处理也是非常最终的,一些包含重要信息的文件不能随意丢弃,否则可能会造成意想不到的损失。如最常见的随意丢弃到垃圾桶里面。
办公网入口的资产排查
随着攻击方式的多样化,使用近源渗透方式的也越来越多。近源渗透作为可落地的新型攻击形式,在近年的攻防演练中被多次利用。近源渗透是指攻击者物理入侵目标区域,利用无线网络、物理接口、智能终端等进行渗透。近源渗透犹如“堤溃蚁孔”一般,值得我们重点关注。
因此我们要在办公网区域重点排查:
无线网络(wifi)
1.无线节点是否存在弱密码,私接私搭无线节点
2.wifi是否做了访问控制,wifi网络是否可以直达核心网络。
3.wifi设备是否存在漏洞
网络接口
公司楼道,大厅等位置是否预留了网线接口,这些接口是否有做权限控制。
USB接口
排查外设的使用情况,现今各种设备都存在USB接口,如果未加防范,攻击者可以轻松接入接口,造成危害。如使用U盘钓鱼的方式,在目标附近丢撒U盘,目标相关的工作人员拾起使用后中招木马病毒。
智能设备
公司内的各种显示屏,取号机等设备都可以看成一个智能设备,说白了还是一台计算机,在存在漏洞的情况下,攻击者可绕过限制使用其进行网络攻击。因此要加强对这些设备的管控。
总 结
护网前的这些工作就是帮助我们把木桶的短板给补齐,同时也是对我们日常运营效果的一次总结。