一、背景与目标
互联网暴露面检查通过人工和工具进一步确认和挖掘组织单位暴露在互联网的已知和未知资产,发现安全隐患并提出优化建议。这是安全自查的重要手段之一。通过检查,可以明确信息系统在互联网的开放程度,发现未经授权暴露的资产,并通过技术手段降低或解决问题,为信息系统规划、建设和调整提供参考,增加攻击者的攻击难度。
二、整体收缩思路
分析材料主要来自以下:
资产识别表/梳理表
组织单位敏感信息关键字
各类工具扫描及人工检查结果
网络负责人的访谈和沟通结果
暴露面检查主要从以下5个方面进行分析:
-
互联网IP地址及域名
-
端口服务
-
应用
-
Web应用
-
敏感信息
三、暴露面收缩具体实施方法与处置方法
域名、IP
参考资产梳理中的互联网IP地址表
结合网络拓扑,访谈确认所有出口IP信息,不得遗漏
使用搜索引擎查找:site:xxx.com
使用工具获取:微步、站长工具、DNSDUMPSTER、censys.io
工具爆破:fierce、dnsdict6、Layer子域名挖掘机
处置方法:
-
确认无归属域名及其对应的服务器,补充至资产识别表的DMZ区资产表中。
-
确认无归属IP及其相关信息,补充至资产识别表的互联网IP地址中。
-
使用CDN技术。
端口服务
参考资产识别表中的端口映射表
使用TSS工具的资产识别功能
使用nmap、masscan等工具进行交叉验证
人工测试扫描结果的准确性
处置方法:
-
针对高危端口,和运维团队确认用途及对外开放的必要性。尽可能关闭非必要性对外开放端口,减少暴露面。
应用
结合资产收集表中的网络拓扑图、端口映射表和网络安全产品清单进行初步收集
与团队访谈进行确认
处置方法:
-
VPN、堡垒机、云桌面等应用管理控制台、后台不得对互联网开放。
-
检查用户认证是否采用双因素认证,是否启用密码复杂度,是否开启防爆破功能,是否对接入用户进行权限划分等。
Web应用
针对端口识别服务,检测指纹并梳理出Web应用
结合TSS扫描工具、资产梳理表和运维团队访谈结果,确认技术架构和内容管理系统
处置方法:
-
关闭非必要对外开放的Web业务。
-
关闭非必要对外开放的Web应用端口。
-
关闭所有对外开放的Web管理后台页面;对外开放的Web用户登录页面应检查是否具备防爆破能力,是否加入安全设备的防爆破保护模块,部署WAF防止恶意爬虫、目录扫描等违规操作。
源代码
使用后台扫描工具,使用备份文件名字典进行扫描
根据提供的关键字在GitHub等代码分享、托管平台进行搜索查寻
通过各种云盘进行搜索查寻
处置方法:
对于扫描发现的网站后台备份文件,进行清除。
对于在GitHub等代码托管平台发现的源代码泄露事件,追究责任人并进行清除。
四、暴露面收缩成果
临战前,根据最新梳理的资产清单,对虚拟化服务器和物理服务器进行存活扫描,确认存活服务器数量。梳理负载均衡设备对外发布的IP、端口及其对应的业务,并与业务人员核实,筛选出涉及高危端口的映射和非核心业务的映射。梳理互联网防火墙的域间策略和ACL策略,筛选出涉及高危端口的策略和批量放通的策略。梳理包含虚拟机、物理机的内网业务服务器,筛选出非核心业务虚拟机和物理服务器。使用Nmap端口扫描工具、FOFA搜索引擎,对多个IP地址段进行扫描,确认暴露互联网资产。
五、后续工作与补充
端口存活性探测的准确性会受扫描设备运行状态、网络环境等因素影响,建议对扫描结果进行人工验证,同时结合多种扫描工具(nmap、masscan)交叉验证,尽可能不出现漏端口或者服务的情况。
六、总结成效
互联网暴露面缩小后,减少了攻击者在信息收集阶段获取的信息,增加攻击者的攻击难度;同时也方便进行互联网暴露资产的漏洞自查和修复。互联网暴露面收缩本质上也是资产梳理的一部分,是对互联网资产的专项梳理,只有摸清家底,才能完善管理。
原文始发于微信公众号(TtTeam):技战法 – 互联网暴露面检查与收缩策略
