2020年“網(wǎng)絡(luò )安全攻防演習”即將開(kāi)始，聯(lián)軟科技已經(jīng)參與了不少客戶(hù)的支持工作。其中互聯(lián)網(wǎng)資產(chǎn)梳理、暴露面收斂、風(fēng)險檢測與持續監測，是參加演習的單位在前期必須做且要做好的工作。在演習期間，依托于詳盡的資產(chǎn)臺賬，快速響應和處置危險點(diǎn)，是企業(yè)避免丟分，爭取得分的一大關(guān)鍵要素。

作為老生常談的一句話(huà)“你無(wú)法保護你看不見(jiàn)的東西”，在真實(shí)的攻防對抗過(guò)程中，淺顯但知易行難。本文基于以往企業(yè)客戶(hù)互聯(lián)網(wǎng)安全運營(yíng)服務(wù)的經(jīng)驗，結合2019年以來(lái)配合客戶(hù)參加國家級攻防演習和區域監管重大安保等活動(dòng)，對演習期間企業(yè)互聯(lián)網(wǎng)資產(chǎn)梳理與暴露面收斂做出如下觀(guān)察和思考：

原則

●攻擊者視角

●最大化收斂，最小化暴露

●你發(fā)現的風(fēng)險隱患，可能已被對手利用

●有效利用“攻防不對稱(chēng)”

目標1:互聯(lián)網(wǎng)資產(chǎn)梳理，精細化作業(yè)

有效的安全管理，是建立在對資產(chǎn)全面、準確、實(shí)時(shí)掌握的基礎上，以及將“資產(chǎn)-風(fēng)險-責任人”三個(gè)核心要素，以快捷、持續、動(dòng)態(tài)的方式進(jìn)行關(guān)聯(lián)。這些工作包括：

●互聯(lián)網(wǎng)資產(chǎn)詳情，從基本信息到應用組件、應用指紋等

●互聯(lián)網(wǎng)資產(chǎn)梳理，端口服務(wù)登記，從外部到內部的資產(chǎn)狀況，信息關(guān)聯(lián)等

●風(fēng)險暴露面排查，遠程訪(fǎng)問(wèn)端口、VPN入口、后臺入口、驗證碼等

●影子資產(chǎn)排查，那些被忽略的域名、IP、應用、App、信息通道等

●生成資產(chǎn)臺賬，收斂暴露面，定期更新和審核。當然，這里還有一點(diǎn)是要注意文檔擴散范圍

目標2:全量漏洞與風(fēng)險檢測

漏洞掃描、滲透測試是不可或缺的檢測手段，本文不做贅述，僅從備戰視角提供一些思路和經(jīng)驗：

●不留存低級錯誤，遵循最小化原則

●確保每一條安全風(fēng)險閉環(huán)的關(guān)閉，最好有管理系統支撐，以便后續跟蹤；對存在歷史漏洞和風(fēng)險的，如過(guò)往滲透測試中發(fā)現的問(wèn)題，其所涉及的應用和業(yè)務(wù)區域，可以再詳細排查一遍

●排查發(fā)現的隱蔽漏洞，要進(jìn)一步核實(shí)是否存在被利用跡象，不能有僥幸心理

●系統漏洞、設備漏洞、應用漏洞、中間件漏洞、第三方平臺漏洞、弱口令，這些可進(jìn)行全量檢測和交叉檢測

目標3:敏感信息等數字資產(chǎn)的風(fēng)險排查

由于真實(shí)對抗場(chǎng)景，攻擊方會(huì )充分檢索各類(lèi)在互聯(lián)網(wǎng)空間中的信息，并充分利用各類(lèi)信息形成攻擊面和攻擊策略。這些有價(jià)值的數字資產(chǎn)也需要梳理排查，包括：

●組織架構信息，組織信息可能是必要的，但不宜暴露過(guò)多

●人員信息，搜索引擎中可以明確定位的員工，社工庫泄露的員工信息

●開(kāi)源社區、網(wǎng)盤(pán)和文庫泄露的業(yè)務(wù)代碼、配置文件、敏感文檔、人員信息、測試文檔等

經(jīng)驗談:影子資產(chǎn)測繪

影子資產(chǎn)是泛指未能了解或掌握的互聯(lián)網(wǎng)資產(chǎn)，集團型企業(yè)或大型組織容易遭遇此類(lèi)問(wèn)題困擾。這種“大海撈針”的工作，必須依托專(zhuān)用平臺，才能保障識別效率，實(shí)現快速定位。

聯(lián)軟科技的魔方安全團隊利用專(zhuān)用平臺，可以根據目標對象關(guān)鍵詞和特征字，以及其它屬性，自動(dòng)完成海量互聯(lián)網(wǎng)IP資產(chǎn)的識別和定位。例如為參與演習的某大型央企，快速定位到了數十個(gè)安全部門(mén)未掌握的互聯(lián)網(wǎng)資產(chǎn)，并且在得到授權的前提下，很快發(fā)現存在的高危漏洞和安全隱患。

經(jīng)驗談:供應鏈風(fēng)險排查

供應鏈風(fēng)險與隱患排查是一大難題，需要建立正確的供應鏈風(fēng)險排查思路，甲方業(yè)務(wù)特性、組織規模等決定了供應鏈的規模和復雜度。

聯(lián)軟建議將同業(yè)兄弟單位、核心供應商、系統提供商、設備提供商、服務(wù)提供商，按照業(yè)務(wù)相關(guān)性、合作緊密性，風(fēng)險等級等因素分門(mén)別類(lèi)。供應鏈存在的安全問(wèn)題往往具有相似性，需要以統一的管理手段和技術(shù)措施，對所有供應商進(jìn)行梳理和排查。

總結:久久為之，不貪一時(shí)之功

家底不清，資產(chǎn)不明，不是技術(shù)問(wèn)題，大多是管理的問(wèn)題。借助演習的機會(huì )，圍繞以下內容，先將互聯(lián)網(wǎng)資產(chǎn)的細粒度和管理水平提升一個(gè)檔次：

●持續的資產(chǎn)狀態(tài)監控

●全面的資產(chǎn)風(fēng)險識別與閉環(huán)管理

●實(shí)時(shí)漏洞和威脅情報監測，與資產(chǎn)關(guān)聯(lián)的自動(dòng)化處置

●安全意識常態(tài)化，安全歸根到底還得歸于“人的因素”

資產(chǎn)始終是安全管理的基石，伴隨攻防演習的常態(tài)化，應當構建和完善資產(chǎn)安全運營(yíng)。聯(lián)軟科技在攻防演習前、中、后的全場(chǎng)景中提供網(wǎng)絡(luò )安全防護解決方案，助力金融、制造業(yè)、通信等行業(yè)提高安全人員實(shí)戰能力，助力國家實(shí)戰練兵和網(wǎng)絡(luò )強國建設。