攻防演练之资产收敛

前 言 据说今年的攻防演练马上又要开始了，很多企业都开始了前期的准备工作。资产的梳理，暴露面收敛是前期必须做且要做好的工作。 不知道大家有没有听过一个木桶原理“由多块木板构成的木桶，其价值在于其盛水量的多少，但决定木桶盛水量多少的关键因素不是其最长的板块，而是其最短的板块”。其实在攻防领域也是这样，一个企业安全的好坏不在于某一方面你做的有多好，而在于那些方面还没有做好。只要你在某些方面还存在短板，那么就可能会被攻破。 那么护网前的资产梳理，暴露面收敛就是帮忙找到短板，可见其重要性，接下来就让我们一起来看看都要梳理那些资产。 原 则 资产收集的原则是所有的资产都在管控中，不存在暗资产；一切与公司相关的信息，包括域名，端口，IP，应用组件，github信息，人员信息等 收敛的原则就是最大化收敛，最小化暴露。 互联网中的影子资产 这部分的资产有域名，端口，IP，组件，VPN入口等资产。每次在护网前都感觉自己做的资产已经很全了，可每次都会被发现依然存在很多没有在管控范围内的资产。 事后总结了一下可能得原因： 1）域名的DNS解析下了，服务器上的文件没有下线，导致可以直接通过IP去访问 2）绕过了正常的发布流程，直接去发布应用 3）项目组在云上了搭建了项目，挂的是公司的域名 排查时一定要注意下面的几点： 从各种搜索引擎排查是否存在没有纳入管控的域名，如fofa，钟馗之眼，百度，谷歌，github等 排查每个域名使用的组件，数据库，中间件是否存在已知漏洞 弱口令治理，排查各种管理系统是否存在弱口令 端口原则上来说只能开放80,443，除了这两个端口以外，其它任何开启的端口都要看其是否通过审核。 VPN入口要开启双因素认证 检查waf的防护情况，是否所有的域名都加入了防护，是否存在可以绕过防护的情况，如通过绑定IP直接绕过waf防护 对开在公有云并且没有做过安全防护的域名临时做下线处理 集权类系统（OA、邮件、堡垒机)除非必要收到内网，如果要开到公网，则必须做好权限管理。很重要的一点就是邮件的弱口令一定要进行排查，因为邮箱中会包含公司内的很多信息并可以用于钓鱼 敏感信息等数字资产的风险排查 攻击从来不都是纯技术的对抗，还是人与人之间的对抗。社工在攻击中占的比重也越来越大。攻击方会充分检索各类在互联网空间中的信息，并根据这些信息进行社工。这些有价值的数字资产也需要梳理排查。 组织架构信息 组织信息可能是必要的，但不宜暴露过多。过多的暴露可能会给攻击者提供额外的信息 人员信息 包括人员的邮箱，姓名，人员兴趣爱好等，过多的人员信息暴露会给社工提供方便，如在攻防中最常用的钓鱼。同时在搜索引擎中可以明确定位的员工，社工库泄露的员工，这些人员要进行特别提醒，防止被钓鱼。 社区敏感信息 github，gitlib，开源社区、网盘和文库泄露的业务代码、配置文件、敏感文档、人员信息、测试文档等 办公文件处理 办公文件处理也是非常最终的，一些包含重要信息的文件不能随意丢弃，否则可能会造成意想不到的损失。如最常见的随意丢弃到垃圾桶里面。 办公网入口的资产排查 随着攻击方式的多样化，使用近源渗透方式的也越来越多。近源渗透作为可落地的新型攻击形式，在近年的攻防演练中被多次利用。近源渗透是指攻击者物理入侵目标区域，利用无线网络、物理接口、智能终端等进行渗透。近源渗透犹如“堤溃蚁孔”一般，值得我们重点关注。 因此我们要在办公网区域重点排查： 无线网络（wifi） 1.无线节点是否存在弱密码，私接私搭无线节点 2.wifi是否做了访问控制，wifi网络是否可以直达核心网络。 3.wifi设备是否存在漏洞 网络接口 公司楼道，大厅等位置是否预留了网线接口，这些接口是否有做权限控制。 USB接口 排查外设的使用情况，现今各种设备都存在USB接口，如果未加防范，攻击者可以轻松接入接口，造成危害。如使用U盘钓鱼的方式，在目标附近丢撒U盘，目标相关的工作人员拾起使用后中招木马病毒。 智能设备 公司内的各种显示屏，取号机等设备都可以看成一个智能设备，说白了还是一台计算机，在存在漏洞的情况下，攻击者可绕过限制使用其进行网络攻击。因此要加强对这些设备的管控。 总 结 护网前的这些工作就是帮助我们把木桶的短板给补齐，同时也是对我们日常运营效果的一次总结。 文章来源：freebuf 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END