微信公眾號、小程序的普及，為我們的日常生活提供了很多便利，看病掛號、開(kāi)卡繳費、在線(xiàn)辦理業(yè)務(wù)......，越來(lái)越多人習慣在微信公眾號和小程序上處理事務(wù)。作為新型資產(chǎn)的一種，社交媒體很容易成為忽視的項目。

今年我們在參與企業(yè)攻防演習中，碰到了企業(yè)對于互聯(lián)網(wǎng)資產(chǎn)梳理的需求，其實(shí)在以往與客戶(hù)的交流中，我們就發(fā)現很多企業(yè)忽略了社交媒體的重要性，容易給企業(yè)網(wǎng)絡(luò )安全留下了隱患，也容易給攻防演練行動(dòng)留下缺口。以往年攻防演練行動(dòng)攻擊為案例，攻擊者可通過(guò)收集到微信公眾號AppID，將AppID錄入數據泄露監控模塊中，發(fā)現github有配置信息泄露，包含內網(wǎng)信息，最終達到突破攻擊的效果。

公眾號，小程序容易忽視的安全點(diǎn)：

數據代碼泄露

現階段公眾號，小程序一般都由第三方外包商承擔。一些廠(chǎng)商由于安全意識不足，為方便修改、部署，會(huì )將代碼上傳到開(kāi)源社區統一處理。在運營(yíng)服務(wù)中，會(huì )發(fā)現大多數企業(yè)都出現類(lèi)似問(wèn)題，企業(yè)無(wú)法得知開(kāi)發(fā)代碼是否被上傳到開(kāi)源社區。其AppID,secret泄露會(huì )導致攻擊者控制此公眾號、小程序，可篡改信息，并獲取數據庫信息。甚至作為跳板，突破攻擊到達企業(yè)內網(wǎng)。

數據無(wú)法統一管控

中大型企業(yè)會(huì )存在海量營(yíng)業(yè)網(wǎng)點(diǎn)、分公司。每個(gè)區域會(huì )有對應的公眾號、小程序。作為總部安全負責人，無(wú)法細致了解到每個(gè)網(wǎng)點(diǎn)的情況信息。網(wǎng)絡(luò )安全屬于短板效應，如果有一處入口沒(méi)有管控起來(lái)，危險可知。

釣魚(yú)仿冒

越來(lái)越多人習慣在公眾號、小程序處理事務(wù)，了解公司動(dòng)態(tài)資訊。眾多服務(wù)功能給手機用戶(hù)提供了很大的方便，但是此處已被灰黑產(chǎn)盯上，收購一些符合要求的服務(wù)號，高仿其他業(yè)務(wù)名字進(jìn)行”釣魚(yú)”。這就需要企業(yè)定期梳理是否存在釣魚(yú)仿冒公眾號、小程序資產(chǎn)。

針對公眾號、小程序的資產(chǎn)泄露問(wèn)題，聯(lián)軟的互聯(lián)網(wǎng)安全資產(chǎn)監控平臺支持全面平臺自動(dòng)化梳理企業(yè)公眾號，小程序資產(chǎn)。監控其AppID，變更情況，后臺接口等信息。并與威脅情報聯(lián)動(dòng)，將持續監控是否需有代碼泄露，AppID密碼泄露等情況

在攻防演習中，互聯(lián)網(wǎng)資產(chǎn)梳理、暴露面收斂、風(fēng)險檢測與持續監測等是參加演習的單位在前期必須做且要做好的工作。聯(lián)軟會(huì )全面助力企業(yè)網(wǎng)絡(luò )安全防護，幫助企業(yè)構建和完善資產(chǎn)安全運營(yíng)，做好每一次網(wǎng)絡(luò )防護。