2020年“網(wǎng)絡(luò)安全攻防演習(xí)”即將開(kāi)始，聯(lián)軟科技已經(jīng)參與了不少客戶的支持工作。其中互聯(lián)網(wǎng)資產(chǎn)梳理、暴露面收斂、風(fēng)險(xiǎn)檢測(cè)與持續(xù)監(jiān)測(cè)，是參加演習(xí)的單位在前期必須做且要做好的工作。在演習(xí)期間，依托于詳盡的資產(chǎn)臺(tái)賬，快速響應(yīng)和處置危險(xiǎn)點(diǎn)，是企業(yè)避免丟分，爭(zhēng)取得分的一大關(guān)鍵要素。

作為老生常談的一句話“你無(wú)法保護(hù)你看不見(jiàn)的東西”，在真實(shí)的攻防對(duì)抗過(guò)程中，淺顯但知易行難。本文基于以往企業(yè)客戶互聯(lián)網(wǎng)安全運(yùn)營(yíng)服務(wù)的經(jīng)驗(yàn)，結(jié)合2019年以來(lái)配合客戶參加國(guó)家級(jí)攻防演習(xí)和區(qū)域監(jiān)管重大安保等活動(dòng)，對(duì)演習(xí)期間企業(yè)互聯(lián)網(wǎng)資產(chǎn)梳理與暴露面收斂做出如下觀察和思考：

原則

●攻擊者視角

●最大化收斂，最小化暴露

●你發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患，可能已被對(duì)手利用

●有效利用“攻防不對(duì)稱”

目標(biāo)1:互聯(lián)網(wǎng)資產(chǎn)梳理，精細(xì)化作業(yè)

有效的安全管理，是建立在對(duì)資產(chǎn)全面、準(zhǔn)確、實(shí)時(shí)掌握的基礎(chǔ)上，以及將“資產(chǎn)-風(fēng)險(xiǎn)-責(zé)任人”三個(gè)核心要素，以快捷、持續(xù)、動(dòng)態(tài)的方式進(jìn)行關(guān)聯(lián)。這些工作包括：

●互聯(lián)網(wǎng)資產(chǎn)詳情，從基本信息到應(yīng)用組件、應(yīng)用指紋等

●互聯(lián)網(wǎng)資產(chǎn)梳理，端口服務(wù)登記，從外部到內(nèi)部的資產(chǎn)狀況，信息關(guān)聯(lián)等

●風(fēng)險(xiǎn)暴露面排查，遠(yuǎn)程訪問(wèn)端口、VPN入口、后臺(tái)入口、驗(yàn)證碼等

●影子資產(chǎn)排查，那些被忽略的域名、IP、應(yīng)用、App、信息通道等

●生成資產(chǎn)臺(tái)賬，收斂暴露面，定期更新和審核。當(dāng)然，這里還有一點(diǎn)是要注意文檔擴(kuò)散范圍

目標(biāo)2:全量漏洞與風(fēng)險(xiǎn)檢測(cè)

漏洞掃描、滲透測(cè)試是不可或缺的檢測(cè)手段，本文不做贅述，僅從備戰(zhàn)視角提供一些思路和經(jīng)驗(yàn)：

●不留存低級(jí)錯(cuò)誤，遵循最小化原則

●確保每一條安全風(fēng)險(xiǎn)閉環(huán)的關(guān)閉，最好有管理系統(tǒng)支撐，以便后續(xù)跟蹤；對(duì)存在歷史漏洞和風(fēng)險(xiǎn)的，如過(guò)往滲透測(cè)試中發(fā)現(xiàn)的問(wèn)題，其所涉及的應(yīng)用和業(yè)務(wù)區(qū)域，可以再詳細(xì)排查一遍

●排查發(fā)現(xiàn)的隱蔽漏洞，要進(jìn)一步核實(shí)是否存在被利用跡象，不能有僥幸心理

●系統(tǒng)漏洞、設(shè)備漏洞、應(yīng)用漏洞、中間件漏洞、第三方平臺(tái)漏洞、弱口令，這些可進(jìn)行全量檢測(cè)和交叉檢測(cè)

目標(biāo)3:敏感信息等數(shù)字資產(chǎn)的風(fēng)險(xiǎn)排查

由于真實(shí)對(duì)抗場(chǎng)景，攻擊方會(huì)充分檢索各類在互聯(lián)網(wǎng)空間中的信息，并充分利用各類信息形成攻擊面和攻擊策略。這些有價(jià)值的數(shù)字資產(chǎn)也需要梳理排查，包括：

●組織架構(gòu)信息，組織信息可能是必要的，但不宜暴露過(guò)多

●人員信息，搜索引擎中可以明確定位的員工，社工庫(kù)泄露的員工信息

●開(kāi)源社區(qū)、網(wǎng)盤(pán)和文庫(kù)泄露的業(yè)務(wù)代碼、配置文件、敏感文檔、人員信息、測(cè)試文檔等

經(jīng)驗(yàn)談:影子資產(chǎn)測(cè)繪

影子資產(chǎn)是泛指未能了解或掌握的互聯(lián)網(wǎng)資產(chǎn)，集團(tuán)型企業(yè)或大型組織容易遭遇此類問(wèn)題困擾。這種“大海撈針”的工作，必須依托專用平臺(tái)，才能保障識(shí)別效率，實(shí)現(xiàn)快速定位。

聯(lián)軟科技的魔方安全團(tuán)隊(duì)利用專用平臺(tái)，可以根據(jù)目標(biāo)對(duì)象關(guān)鍵詞和特征字，以及其它屬性，自動(dòng)完成海量互聯(lián)網(wǎng)IP資產(chǎn)的識(shí)別和定位。例如為參與演習(xí)的某大型央企，快速定位到了數(shù)十個(gè)安全部門(mén)未掌握的互聯(lián)網(wǎng)資產(chǎn)，并且在得到授權(quán)的前提下，很快發(fā)現(xiàn)存在的高危漏洞和安全隱患。

經(jīng)驗(yàn)談:供應(yīng)鏈風(fēng)險(xiǎn)排查

供應(yīng)鏈風(fēng)險(xiǎn)與隱患排查是一大難題，需要建立正確的供應(yīng)鏈風(fēng)險(xiǎn)排查思路，甲方業(yè)務(wù)特性、組織規(guī)模等決定了供應(yīng)鏈的規(guī)模和復(fù)雜度。

聯(lián)軟建議將同業(yè)兄弟單位、核心供應(yīng)商、系統(tǒng)提供商、設(shè)備提供商、服務(wù)提供商，按照業(yè)務(wù)相關(guān)性、合作緊密性，風(fēng)險(xiǎn)等級(jí)等因素分門(mén)別類。供應(yīng)鏈存在的安全問(wèn)題往往具有相似性，需要以統(tǒng)一的管理手段和技術(shù)措施，對(duì)所有供應(yīng)商進(jìn)行梳理和排查。

總結(jié):久久為之，不貪一時(shí)之功

家底不清，資產(chǎn)不明，不是技術(shù)問(wèn)題，大多是管理的問(wèn)題。借助演習(xí)的機(jī)會(huì)，圍繞以下內(nèi)容，先將互聯(lián)網(wǎng)資產(chǎn)的細(xì)粒度和管理水平提升一個(gè)檔次：

●持續(xù)的資產(chǎn)狀態(tài)監(jiān)控

●全面的資產(chǎn)風(fēng)險(xiǎn)識(shí)別與閉環(huán)管理

●實(shí)時(shí)漏洞和威脅情報(bào)監(jiān)測(cè)，與資產(chǎn)關(guān)聯(lián)的自動(dòng)化處置

●安全意識(shí)常態(tài)化，安全歸根到底還得歸于“人的因素”

資產(chǎn)始終是安全管理的基石，伴隨攻防演習(xí)的常態(tài)化，應(yīng)當(dāng)構(gòu)建和完善資產(chǎn)安全運(yùn)營(yíng)。聯(lián)軟科技在攻防演習(xí)前、中、后的全場(chǎng)景中提供網(wǎng)絡(luò)安全防護(hù)解決方案，助力金融、制造業(yè)、通信等行業(yè)提高安全人員實(shí)戰(zhàn)能力，助力國(guó)家實(shí)戰(zhàn)練兵和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)。