红蓝对抗之【资产暴露面及突破链预测】 – 作者:默安科技

圆满结束了极为热门的安全开发和DevSecOps的专题直播后，我们又为各位默粉精心烹制了一顿以“红蓝对抗”为主题的盛宴，agenda和参与方式请戳这里。

第一期《资产暴露面及突破链预测》已于5月15日（上周五）播出。小默还给未能观看直播的小伙伴整理了文字回顾（视频回放请移步公众号同名推文）。

PPT获取方式：

默安科技公众号后台回复“直播”获取下载链接。

我们对资产的安全管理总结为4个步骤：知（看到）、行（检测）、合（防御）、一（一体化建设）。本次分享我们也将从这四个方面介绍资产暴露面的介绍以及突破链预测的相关内容。

知（看到）

01丨资产暴露面难题

 数量庞大的资产和未知的影子IT怎么管

 漏洞怎么跟踪？处置无法闭环？

应急响应慢

合规更加严格

在历年的攻防演习中，多家单位因为资产暴露监控不到位而存在的低级错误被攻破。有的通过入侵分公司系统进入内部网络，有的通过GitHub泄露的账号密码直接控制系统。

02丨资产暴露面：IT资产

我们将一般的IT资产梳理为以下4个大类：

自由IP池：自建机房、连续IP段、重要核心业务、大量内部系统

托管业务：边缘业务、老旧资产、非核心业务边缘业务（可能由于早期管理不善，不同业务划分不清晰，非核心业务与核心业务之间存在强关联）

云上业务：新兴业务、特殊业务、对资源弹性要求高

IoT、办公网：物联网设备、常见办公区、PC、终端、生产线等

 这里着重介绍一下实际应用中最为常见的脆弱点，也就是IP背后隐藏的可深入挖掘的资产，主要包括域名、端口和操作系统（主要是漏洞扫描）三类。

IP背后的隐形资产

 03丨资产暴露面：敏感信息

同样地，我们梳理了可能存在敏感信息的4个渠道：代码托管平台、社交平台、文库网盘、技术论坛。从无数真实案例中不难发现，很多严重的数据泄露都来源于代码托管平台和社交平台的信息暴露。

 代码托管平台涉及的敏感信息一般包括：

各类账密：开发、测试、运维、应用等各类账密

源代码：APP、B/S、C/S、小程序等各类系统源代码

应用系统：各类接口服务、测试环境、后台页面等地址

工作日志：工作记录、单位技术栈、项目情况等信息

社交平台

例如，很多员工会把和工作相关的事宜记录在社交平台上，极易导致敏感信息泄露；另外很多平台具备登记在职员工的功能，也容易被恶意利用。一个比较久远但非常典型的例子就是德勤员工在google+上记录了公司代理的账号密码，导致整个德勤泄露500万条数据。

行（检测和收敛）

“行”主要是指针对以上暴露面，尤其是IP资产和敏感信息的发现和攻击面收敛，例如针对IP资产，注意对物理位置、服务（端口）、域名的保护，针对敏感信息，则需要减少搜索引擎中涉及的相关信息，提高人员意识，对文档和数据做分级分类。

合（防御措施）

01丨突破链预测

突破链的预测可以从以下6个方面入手，同时也是防守方需要特别保护的方向。

02丨常见攻击链

对于攻击链的预测，我们有一条通用的公式：可利用漏洞+突破口+外网暴露+网络连通性=攻击链。满足等号左侧的条件，一条完整的攻击链就打通了。每符合一个条件，风险等级就上升一个层级。

常见攻击链示意图

一（一体化建设）

信息安全建设任重道远，短板决定一切，因此应从全面一体化的角度去建设安全。

—The END—

来源：freebuf.com 2020-05-21 16:26:40 by: 默安科技