2020年“網(wǎng)絡(luò)安全攻防演習(xí)”即將開始，聯(lián)軟科技已經(jīng)參與了不少客戶的支持工作。其中互聯(lián)網(wǎng)資產(chǎn)梳理、暴露面收斂、風(fēng)險檢測與持續(xù)監(jiān)測，是參加演習(xí)的單位在前期必須做且要做好的工作。在演習(xí)期間，依托于詳盡的資產(chǎn)臺賬，快速響應(yīng)和處置危險點，是企業(yè)避免丟分，爭取得分的一大關(guān)鍵要素。

作為老生常談的一句話“你無法保護(hù)你看不見的東西”，在真實的攻防對抗過程中，淺顯但知易行難。本文基于以往企業(yè)客戶互聯(lián)網(wǎng)安全運營服務(wù)的經(jīng)驗，結(jié)合2019年以來配合客戶參加國家級攻防演習(xí)和區(qū)域監(jiān)管重大安保等活動，對演習(xí)期間企業(yè)互聯(lián)網(wǎng)資產(chǎn)梳理與暴露面收斂做出如下觀察和思考：

原則

●攻擊者視角

●最大化收斂，最小化暴露

●你發(fā)現(xiàn)的風(fēng)險隱患，可能已被對手利用

●有效利用“攻防不對稱”

目標(biāo)1:互聯(lián)網(wǎng)資產(chǎn)梳理，精細(xì)化作業(yè)

有效的安全管理，是建立在對資產(chǎn)全面、準(zhǔn)確、實時掌握的基礎(chǔ)上，以及將“資產(chǎn)-風(fēng)險-責(zé)任人”三個核心要素，以快捷、持續(xù)、動態(tài)的方式進(jìn)行關(guān)聯(lián)。這些工作包括：

●互聯(lián)網(wǎng)資產(chǎn)詳情，從基本信息到應(yīng)用組件、應(yīng)用指紋等

●互聯(lián)網(wǎng)資產(chǎn)梳理，端口服務(wù)登記，從外部到內(nèi)部的資產(chǎn)狀況，信息關(guān)聯(lián)等

●風(fēng)險暴露面排查，遠(yuǎn)程訪問端口、VPN入口、后臺入口、驗證碼等

●影子資產(chǎn)排查，那些被忽略的域名、IP、應(yīng)用、App、信息通道等

●生成資產(chǎn)臺賬，收斂暴露面，定期更新和審核。當(dāng)然，這里還有一點是要注意文檔擴(kuò)散范圍

目標(biāo)2:全量漏洞與風(fēng)險檢測

漏洞掃描、滲透測試是不可或缺的檢測手段，本文不做贅述，僅從備戰(zhàn)視角提供一些思路和經(jīng)驗：

●不留存低級錯誤，遵循最小化原則

●確保每一條安全風(fēng)險閉環(huán)的關(guān)閉，最好有管理系統(tǒng)支撐，以便后續(xù)跟蹤；對存在歷史漏洞和風(fēng)險的，如過往滲透測試中發(fā)現(xiàn)的問題，其所涉及的應(yīng)用和業(yè)務(wù)區(qū)域，可以再詳細(xì)排查一遍

●排查發(fā)現(xiàn)的隱蔽漏洞，要進(jìn)一步核實是否存在被利用跡象，不能有僥幸心理

●系統(tǒng)漏洞、設(shè)備漏洞、應(yīng)用漏洞、中間件漏洞、第三方平臺漏洞、弱口令，這些可進(jìn)行全量檢測和交叉檢測

目標(biāo)3:敏感信息等數(shù)字資產(chǎn)的風(fēng)險排查

由于真實對抗場景，攻擊方會充分檢索各類在互聯(lián)網(wǎng)空間中的信息，并充分利用各類信息形成攻擊面和攻擊策略。這些有價值的數(shù)字資產(chǎn)也需要梳理排查，包括：

●組織架構(gòu)信息，組織信息可能是必要的，但不宜暴露過多

●人員信息，搜索引擎中可以明確定位的員工，社工庫泄露的員工信息

●開源社區(qū)、網(wǎng)盤和文庫泄露的業(yè)務(wù)代碼、配置文件、敏感文檔、人員信息、測試文檔等

經(jīng)驗談:影子資產(chǎn)測繪

影子資產(chǎn)是泛指未能了解或掌握的互聯(lián)網(wǎng)資產(chǎn)，集團(tuán)型企業(yè)或大型組織容易遭遇此類問題困擾。這種“大海撈針”的工作，必須依托專用平臺，才能保障識別效率，實現(xiàn)快速定位。

聯(lián)軟科技的魔方安全團(tuán)隊利用專用平臺，可以根據(jù)目標(biāo)對象關(guān)鍵詞和特征字，以及其它屬性，自動完成海量互聯(lián)網(wǎng)IP資產(chǎn)的識別和定位。例如為參與演習(xí)的某大型央企，快速定位到了數(shù)十個安全部門未掌握的互聯(lián)網(wǎng)資產(chǎn)，并且在得到授權(quán)的前提下，很快發(fā)現(xiàn)存在的高危漏洞和安全隱患。

經(jīng)驗談:供應(yīng)鏈風(fēng)險排查

供應(yīng)鏈風(fēng)險與隱患排查是一大難題，需要建立正確的供應(yīng)鏈風(fēng)險排查思路，甲方業(yè)務(wù)特性、組織規(guī)模等決定了供應(yīng)鏈的規(guī)模和復(fù)雜度。

聯(lián)軟建議將同業(yè)兄弟單位、核心供應(yīng)商、系統(tǒng)提供商、設(shè)備提供商、服務(wù)提供商，按照業(yè)務(wù)相關(guān)性、合作緊密性，風(fēng)險等級等因素分門別類。供應(yīng)鏈存在的安全問題往往具有相似性，需要以統(tǒng)一的管理手段和技術(shù)措施，對所有供應(yīng)商進(jìn)行梳理和排查。

總結(jié):久久為之，不貪一時之功

家底不清，資產(chǎn)不明，不是技術(shù)問題，大多是管理的問題。借助演習(xí)的機(jī)會，圍繞以下內(nèi)容，先將互聯(lián)網(wǎng)資產(chǎn)的細(xì)粒度和管理水平提升一個檔次：

●持續(xù)的資產(chǎn)狀態(tài)監(jiān)控

●全面的資產(chǎn)風(fēng)險識別與閉環(huán)管理

●實時漏洞和威脅情報監(jiān)測，與資產(chǎn)關(guān)聯(lián)的自動化處置

●安全意識常態(tài)化，安全歸根到底還得歸于“人的因素”

資產(chǎn)始終是安全管理的基石，伴隨攻防演習(xí)的常態(tài)化，應(yīng)當(dāng)構(gòu)建和完善資產(chǎn)安全運營。聯(lián)軟科技在攻防演習(xí)前、中、后的全場景中提供網(wǎng)絡(luò)安全防護(hù)解決方案，助力金融、制造業(yè)、通信等行業(yè)提高安全人員實戰(zhàn)能力，助力國家實戰(zhàn)練兵和網(wǎng)絡(luò)強(qiáng)國建設(shè)。