近些年,在互联网大环境的影响下,无论国家还是行业层面,都开始逐步关注和重视安全问题。全国、地区、行业内的网络安全攻防演练活动持续增多,对企业的网络安全防护能力、监测发现能力、应急处置能力的综合要求也越来越高,如何能在攻防演练开始前期尽可能早的发现存在的短板和薄弱环节,是悬在参演单位头上的“达摩克利斯之剑”。
然而,如何行之有效的搜寻攻方可探查的敏感信息并及时清理?该如何进行资产测绘?这些都是值得探讨的话题。
本次,斗象科技南区技术总监胡云海就“攻防演练前的安全隐患排查工作指南”为题,从信息搜集、策略制定、安全管控等方向,和大家一起分享交流针对攻防演练过程中各方面的工作部署及思路想法。
企业作为防守方,为应对攻方的信息收集,首要解决的就是减少敏感信息的暴露,包括系统源代码、邮箱账号、口令等。
从常规的进攻路径来看,会以先收集企业的IT资产信息(如:域名、IP、开放端口、证书信息、企业名称、ICP备案信息、whois信息等)作为搜索的敏感特征,再配合关键词(如:源代码、邮箱、密码、文件名、通讯录、内部资料、安装说明等)搜索暴露在互联网上的敏感信息。
ARL 侦查企业资产界面
常用的互联网敏感信息搜索渠道如下:
搜索引擎类,如百度搜索、360搜索、搜狗、谷歌、必应、搜搜、雅虎、有道、阿里云搜等
学术网站类,如CNKI、Google学术、百度学术
网盘类,如百度云盘、新浪微盘、360云盘等
代码托管平台类,如Github、Bitbucket、Gitlib、Gitee等
招投标网站类,自建招投标网站、第三方招投标网站等
文库类,如百度文库、豆丁网等
社交平台类,如微信群、QQ群、论坛、贴吧等
其它,如Pastebin(黑客共享信息平台)、暗网等
清理已暴漏敏感信息的四种途径
直接清理:如对于自建的招投标网站上暴露的敏感信息可联系网站主管部门清理;企业及个人使用账号在论坛、网盘、社交网站上发布的敏感信息可直接清理
协助删除:如百度、知网等商业类网站,可联系网站管理机构请求协助删除
找原作者并删除:如Github、论坛等开放式网站可联系发布原作者进行删除
妥善保管:内网存在的敏感信息,如网络架构图、拓扑图、网络设备和安全设备的管理员账号、密码等敏感信息,被攻击队获取后的危害非常大,尤应妥善保管。
资产梳理,收敛攻击面
在往年的攻防演练中,攻击队常使出「声东击西」、「浑水摸鱼」、「李代桃僵」等计谋让守方节节溃败,究其原因还是守方对自己的资产无法进行全面清晰的掌控。在攻防演练开始前梳理企业资产并采取相关防御措施也就显得尤为关键。
清理互联网资产
统计排查:排查公有云平台,阿里云、腾讯云、百度云、天翼云等;排查合作方机房的互联网应用,如互联网网站、专业应用、移动APP、微信公众号、微信小程序等
技术评估并采取措施:采用技术手段对暴露在互联网上的设备、应用、数据库等网络资产进行排查评估,关闭不必要的主机、应用和服务
ARL筛选站点任务下发:POC扫描
梳理网络边界
全面梳理清查各类网络边界,确保网络拓扑图与实际接线情况一致(包括但不限于自建系统内网络边界以及各安全分区网络边界),以最小权限原则清理无效或者过于宽泛的策略,封堵高危端口。
缩减互联网出口与互联网应用数量
全面清查和关停非必要互联网出口
开展企业互联网应用系统的渗透测试,对存在的高危安全漏洞及不满足安全规定的系统进行下线整改、关停处理
临时关停老旧系统、无主系统、有高危漏洞的互联网应用
互联网出口防护策略有效性检查
检测互联网的防火墙策略,重点排查风险端口对互联网的开放情况,如:确认防火墙的防扫描功能为开启状态
检测互联网出口WAF防护策略,确认WAF已开启高级拦截策略,如过滤单引号,对multipartform-data请求。人工绕过WAF进行渗透测试,发现WAF的防护策略缺陷
检测IPS防护策略,确认已开启有效的全规则过滤。人工绕过IPS进行渗透测试,发现IPS的防护策略缺陷
清理内网资产
核对各网络区域、各IP地址段的在线IT资产,明确各IT资产的用途、所属系统、类别、责任人等信息,编制资产台账
对已停止原厂服务的在运老旧系统和设备进行识别和标记
对无主IP、不明IP的IT资产进行筛查,经核实后进行下线处理、对废弃、无主系统和设备进行下线处理
终端与哑终端全面管控
排查更新终端防病毒软件、安全补丁
排查升级终端操作系统
加强终端安全配置
加强打印机等泛终端的安全管控
Webshell专项检测
利用webshell检测工具对内外网及互联网所有网站进行webshell专项排查,检测历史遗留的webshell情况,一经发现,及时查杀,必要情况下将其更替为干净的网站源码。
弱口令专项检测
利用弱口令检测工具及自检表检查各类终端、服务器、网络及安全设备、数据库、中间件的各类账号是否存在弱口令、默认口令、通用口令等口令长期使用的情况,对发现的弱口令及帐号隐患及时处理。
上篇先聊这些,下篇将接着给大家聊聊如何落实纵向防护及靶心重点防护的问题,大家如有疑问可于评论区积极互动。