微信公眾號(hào)、小程序的普及，為我們的日常生活提供了很多便利，看病掛號(hào)、開(kāi)卡繳費(fèi)、在線辦理業(yè)務(wù)......，越來(lái)越多人習(xí)慣在微信公眾號(hào)和小程序上處理事務(wù)。作為新型資產(chǎn)的一種，社交媒體很容易成為忽視的項(xiàng)目。

今年我們?cè)趨⑴c企業(yè)攻防演習(xí)中，碰到了企業(yè)對(duì)于互聯(lián)網(wǎng)資產(chǎn)梳理的需求，其實(shí)在以往與客戶(hù)的交流中，我們就發(fā)現(xiàn)很多企業(yè)忽略了社交媒體的重要性，容易給企業(yè)網(wǎng)絡(luò)安全留下了隱患，也容易給攻防演練行動(dòng)留下缺口。以往年攻防演練行動(dòng)攻擊為案例，攻擊者可通過(guò)收集到微信公眾號(hào)AppID，將AppID錄入數(shù)據(jù)泄露監(jiān)控模塊中，發(fā)現(xiàn)github有配置信息泄露，包含內(nèi)網(wǎng)信息，最終達(dá)到突破攻擊的效果。

公眾號(hào)，小程序容易忽視的安全點(diǎn)：

數(shù)據(jù)代碼泄露

現(xiàn)階段公眾號(hào)，小程序一般都由第三方外包商承擔(dān)。一些廠商由于安全意識(shí)不足，為方便修改、部署，會(huì)將代碼上傳到開(kāi)源社區(qū)統(tǒng)一處理。在運(yùn)營(yíng)服務(wù)中，會(huì)發(fā)現(xiàn)大多數(shù)企業(yè)都出現(xiàn)類(lèi)似問(wèn)題，企業(yè)無(wú)法得知開(kāi)發(fā)代碼是否被上傳到開(kāi)源社區(qū)。其AppID,secret泄露會(huì)導(dǎo)致攻擊者控制此公眾號(hào)、小程序，可篡改信息，并獲取數(shù)據(jù)庫(kù)信息。甚至作為跳板，突破攻擊到達(dá)企業(yè)內(nèi)網(wǎng)。

數(shù)據(jù)無(wú)法統(tǒng)一管控

中大型企業(yè)會(huì)存在海量營(yíng)業(yè)網(wǎng)點(diǎn)、分公司。每個(gè)區(qū)域會(huì)有對(duì)應(yīng)的公眾號(hào)、小程序。作為總部安全負(fù)責(zé)人，無(wú)法細(xì)致了解到每個(gè)網(wǎng)點(diǎn)的情況信息。網(wǎng)絡(luò)安全屬于短板效應(yīng)，如果有一處入口沒(méi)有管控起來(lái)，危險(xiǎn)可知。

釣魚(yú)仿冒

越來(lái)越多人習(xí)慣在公眾號(hào)、小程序處理事務(wù)，了解公司動(dòng)態(tài)資訊。眾多服務(wù)功能給手機(jī)用戶(hù)提供了很大的方便，但是此處已被灰黑產(chǎn)盯上，收購(gòu)一些符合要求的服務(wù)號(hào)，高仿其他業(yè)務(wù)名字進(jìn)行”釣魚(yú)”。這就需要企業(yè)定期梳理是否存在釣魚(yú)仿冒公眾號(hào)、小程序資產(chǎn)。

針對(duì)公眾號(hào)、小程序的資產(chǎn)泄露問(wèn)題，聯(lián)軟的互聯(lián)網(wǎng)安全資產(chǎn)監(jiān)控平臺(tái)支持全面平臺(tái)自動(dòng)化梳理企業(yè)公眾號(hào)，小程序資產(chǎn)。監(jiān)控其AppID，變更情況，后臺(tái)接口等信息。并與威脅情報(bào)聯(lián)動(dòng)，將持續(xù)監(jiān)控是否需有代碼泄露，AppID密碼泄露等情況

在攻防演習(xí)中，互聯(lián)網(wǎng)資產(chǎn)梳理、暴露面收斂、風(fēng)險(xiǎn)檢測(cè)與持續(xù)監(jiān)測(cè)等是參加演習(xí)的單位在前期必須做且要做好的工作。聯(lián)軟會(huì)全面助力企業(yè)網(wǎng)絡(luò)安全防護(hù)，幫助企業(yè)構(gòu)建和完善資產(chǎn)安全運(yùn)營(yíng)，做好每一次網(wǎng)絡(luò)防護(hù)。