2024红蓝攻防演练必看之（资产收敛）

2024-04-19 10:22 网络安全阅读 137 评论 0

运维派隶属马哥教育旗下专业运维社区，是国内成立最早的IT运维技术社区，欢迎关注公众号：yunweipai
领取学习更多免费Linux云计算、Python、Docker、K8s教程关注公众号：马哥linux运维

据说今年的攻防演练马上又要开始了，很多企业都开始了前期的准备工作。

资产的梳理，暴露面收敛是前期必须做且要做好的工作。

不知道大家有没有听过一个木桶原理“由多块木板构成的木桶，其价值在于其盛水量的多少，但决定木桶盛水量多少的关键因素不是其最长的板块，而是其最短的板块”。其实在攻防领域也是这样，一个企业安全的好坏不在于某一方面你做的有多好，而在于那些方面还没有做好。只要你在某些方面还存在短板，那么就可能会被攻破。

那么护网前的资产梳理，暴露面收敛就是帮忙找到短板，可见其重要性，接下来就让我们一起来看看都要梳理那些资产。

原则

资产收集的原则是所有的资产都在管控中，不存在暗资产；一切与公司相关的信息，包括域名，端口，IP，应用组件，github信息，人员信息等

收敛的原则就是最大化收敛，最小化暴露。
互联网中的影子资产

这部分的资产有域名，端口，IP，组件，VPN入口等资产。每次在护网前都感觉自己做的资产已经很全了，可每次都会被发现依然存在很多没有在管控范围内的资产。

事后总结了一下可能得原因：

1）域名的DNS解析下了，服务器上的文件没有下线，导致可以直接通过IP去访问

2）绕过了正常的发布流程，直接去发布应用

3）项目组在云上了搭建了项目，挂的是公司的域名

排查时一定要注意下面的几点：

从各种搜索引擎排查是否存在没有纳入管控的域名，如fofa，钟馗之眼，百度，谷歌，github等
排查每个域名使用的组件，数据库，中间件是否存在已知漏洞
弱口令治理，排查各种管理系统是否存在弱口令
端口原则上来说只能开放80,443，除了这两个端口以外，其它任何开启的端口都要看其是否通过审核。
VPN入口要开启双因素认证
检查waf的防护情况，是否所有的域名都加入了防护，是否存在可以绕过防护的情况，如通过绑定IP直接绕过waf防护
对开在公有云并且没有做过安全防护的域名临时做下线处理
集权类系统（OA、邮件、堡垒机)除非必要收到内网，如果要开到公网，则必须做好权限管理。很重要的一点就是邮件的弱口令一定要进行排查，因为邮箱中会包含公司内的很多信息并可以用于钓鱼

敏感信息等数字资产的风险排查

攻击从来不都是纯技术的对抗，还是人与人之间的对抗。社工在攻击中占的比重也越来越大。攻击方会充分检索各类在互联网空间中的信息，并根据这些信息进行社工。这些有价值的数字资产也需要梳理排查。