攻防演练之资产收敛_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

攻防演练之资产收敛

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


攻防演练之资产收敛

前 言 据说今年的攻防演练马上又要开始了,很多企业都开始了前期的准备工作。资产的梳理,暴露面收敛是前期必须做且要做好的工作。 不知道大家有没有听过一个木桶原理“由多块木板构成的木桶,其价值在于其盛水量的多少,但决定木桶盛水量多少的关键因素不是其最长的板块,而是其最短的板块”。其实在攻防领域也是这样,一个企业安全的好坏不在于某一方面你做的有多好,而在于那些方面还没有做好。只要你在某些方面还存在短板,那么就可能会被攻破。 那么护网前的资产梳理,暴露面收敛就是帮忙找到短板,可见其重要性,接下来就让我们一起来看看都要梳理那些资产。 原 则 资产收集的原则是所有的资产都在管控中,不存在暗资产;一切与公司相关的信息,包括域名,端口,IP,应用组件,github信息,人员信息等 收敛的原则就是最大化收敛,最小化暴露。 互联网中的影子资产 这部分的资产有域名,端口,IP,组件,VPN入口等资产。每次在护网前都感觉自己做的资产已经很全了,可每次都会被发现依然存在很多没有在管控范围内的资产。 事后总结了一下可能得原因: 1)域名的DNS解析下了,服务器上的文件没有下线,导致可以直接通过IP去访问 2)绕过了正常的发布流程,直接去发布应用 3)项目组在云上了搭建了项目,挂的是公司的域名 排查时一定要注意下面的几点: 从各种搜索引擎排查是否存在没有纳入管控的域名,如fofa,钟馗之眼,百度,谷歌,github等 排查每个域名使用的组件,数据库,中间件是否存在已知漏洞 弱口令治理,排查各种管理系统是否存在弱口令 端口原则上来说只能开放80,443,除了这两个端口以外,其它任何开启的端口都要看其是否通过审核。 VPN入口要开启双因素认证 检查waf的防护情况,是否所有的域名都加入了防护,是否存在可以绕过防护的情况,如通过绑定IP直接绕过waf防护 对开在公有云并且没有做过安全防护的域名临时做下线处理 集权类系统(OA、邮件、堡垒机)除非必要收到内网,如果要开到公网,则必须做好权限管理。很重要的一点就是邮件的弱口令一定要进行排查,因为邮箱中会包含公司内的很多信息并可以用于钓鱼 敏感信息等数字资产的风险排查 攻击从来不都是纯技术的对抗,还是人与人之间的对抗。社工在攻击中占的比重也越来越大。攻击方会充分检索各类在互联网空间中的信息,并根据这些信息进行社工。这些有价值的数字资产也需要梳理排查。 组织架构信息 组织信息可能是必要的,但不宜暴露过多。过多的暴露可能会给攻击者提供额外的信息 人员信息 包括人员的邮箱,姓名,人员兴趣爱好等,过多的人员信息暴露会给社工提供方便,如在攻防中最常用的钓鱼。同时在搜索引擎中可以明确定位的员工,社工库泄露的员工,这些人员要进行特别提醒,防止被钓鱼。 社区敏感信息 github,gitlib,开源社区、网盘和文库泄露的业务代码、配置文件、敏感文档、人员信息、测试文档等 办公文件处理 办公文件处理也是非常最终的,一些包含重要信息的文件不能随意丢弃,否则可能会造成意想不到的损失。如最常见的随意丢弃到垃圾桶里面。 办公网入口的资产排查 随着攻击方式的多样化,使用近源渗透方式的也越来越多。近源渗透作为可落地的新型攻击形式,在近年的攻防演练中被多次利用。近源渗透是指攻击者物理入侵目标区域,利用无线网络、物理接口、智能终端等进行渗透。近源渗透犹如“堤溃蚁孔”一般,值得我们重点关注。 因此我们要在办公网区域重点排查: 无线网络(wifi) 1.无线节点是否存在弱密码,私接私搭无线节点 2.wifi是否做了访问控制,wifi网络是否可以直达核心网络。 3.wifi设备是否存在漏洞 网络接口 公司楼道,大厅等位置是否预留了网线接口,这些接口是否有做权限控制。 USB接口 排查外设的使用情况,现今各种设备都存在USB接口,如果未加防范,攻击者可以轻松接入接口,造成危害。如使用U盘钓鱼的方式,在目标附近丢撒U盘,目标相关的工作人员拾起使用后中招木马病毒。 智能设备 公司内的各种显示屏,取号机等设备都可以看成一个智能设备,说白了还是一台计算机,在存在漏洞的情况下,攻击者可绕过限制使用其进行网络攻击。因此要加强对这些设备的管控。 总 结 护网前的这些工作就是帮助我们把木桶的短板给补齐,同时也是对我们日常运营效果的一次总结。 文章来源:freebuf 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

攻防演练之资产收敛