作者:羲和

写在前面:这是一篇科普文章+小硬广,先科普,再硬广。

感谢你看到这里还没有向右滑动,下面我们进入正题。

HW事项千万条,摸清家底第一条,资产和风险排查是HW准备工作中非常重要的一个环节,如果资产排查做的不够彻底、存在漏疏资产,就难以保障企业的所有暴露面都实施了有效的安全控制措施,从而存在可能会被红队利用的“突破口”。同时,由于攻击队这些年来的攻击手段越来越多样化,传统的资产排查已经远远不足以应对,今天我们主要就来聊一聊在HW前的资产排查中容易遗漏,但又经常会被利用的4种资产。

一.分支机构资产

随着业务的不断扩张,组织往往开设了数量众多的分支机构或子公司。由于组织总部较为重视资产、运维和安全管理制度完善,安全防护措施和资产梳理覆盖面都较为全面,对于攻击队来说,针对总部的正面攻击其实很难取得很好的效果。但政企的分支机构或子公司由于人员较少、管理制度和安全控制措施相比较于总部往往不够完善,且经常和总部连通,容易成为攻击队的重要突破口,因此在排查资产时,不光需要对总部资产进行排查,还需要对分支机构和子公司资产进行排查,在排查时需要注意以下内容:

  1. 全面获取分支机构和子公司,不但要获取常见的组织架构信息,如果对于公司的架构不够理解,还需要通过股权关系等方式(天眼查/企查查等),全面获取和组织相关分子公司,并确认这些子公司是否可能成为攻击总部的跳板,另100%股权全资子公司最危险。

  2. 需要注意分支机构的备案数据、历史备案数据以及域名解析信息,近年来分支机构自行备案的现象有所下降,但依旧存在,甚至为了避免备案,部分分支机构会将资产转移至香港或国外,此时这些历史解析数据和他们的子域名就变得尤为重要了。

  3. 通过空间测绘、搜索引擎等各种渠道获取的具有组织logo、版权信息、关键词等相关的网站,这部分存在大量的IP+端口访问方式网站,且存在分支机构私搭乱建业务。

  4. 和分支机构相关的社交账号以及其中的活动类链接,这些活动链接部分可能是临时开放的访问地址,但往往会暴露出一部分资产数据。

二、新兴资产

根据我司《2020数字资产暴露面报告》一文,从2019年到2020年,数字资产暴露面呈现大幅度上升趋势,如公众号、小程序、代码等传统资产管辖范围之外的“新兴资产”不断增加,近年来已经达到了约13%的整体资产占比,由此可见,新兴资产的管理和排查,也是HW中的重要环节,从新兴资产的角度来说,包含以下范围:

  1. 微信公众号、支付宝生活号、小程序等移动社交类排查。这类资产由于开发、申请成本低,搭建容易,近年来数量急剧上升,同时,由于这些公众号小程序中往往有大量的API以及资产信息,容易成为攻击队利用的关键,仅排查有哪些社交账号和小程序仅是第一步,还需要深入排查社交账号和小程序中暴露的资产数据,如公众号菜单、活动链接等。后续我们将专门讲述某重保期间我们的一次实战是如何通过这类资产深入靶标内部的。

  2. 互联网上的泄露资产,如代码、文档、通讯录等,在为客户做信息收集和监控的过程中,我们曾经见过直接将路由器账号和密码上传到百度网盘上的,也见过直接把数据库地址和密码上传到github上的,这类资产也需要在HW前进行统一排查,避免风险,尤其是Github和码云这类的代码泄露信息,是攻击队常见的信息收集内容,需要重点排查。

三、供应商

供应链攻击也是近几年的新兴攻击手段之一,正面破解靶标较为困难,但转为去攻击组织的供应商难度就会相对降低很多。尤其是政府、金融、能源等行业系专用系统的开发商,专注于某行业某类系统,行业覆盖面积通常能达到30%甚至50%以上。这类供应商由于规模不大,往往自身的安全性较差,利用钓鱼等手段往往很容易拿到内网权限,从而进一步挖掘这类系统漏洞,从而获取权限。在传统的资产排查中,很少会排查这部分内容,但供应商又是“摸清家底”中不可或缺的环节,在排查时需要注意以下几点:

  1. 组织应在重保前全面梳理供应商信息,尤其是可能会暴露在互联网上的软硬件开发商,以便在出现0day漏洞时能够快速响应。

  2. 需要针对这类供应商系统的横向权限扩展进行限制,避免被人通过供应商攻击手段进一步深入。

  3. 在HW前对这类供应商系统进行安全审计,确保不存在已知可利用漏洞。

四、李逵与李鬼

这部分内容,说是组织的资产,但其实又不是组织的资产,或者说是组织的“易混淆资产”。比如组织的钓鱼网站,但和企业真实业务高度相似,通过肉眼难以辨别,无论是专家或攻击队,都有可能认为是组织资产并导致最终得分,所以这部分资产也会成为企业需要监控并及时处理的内容。

  1. 获取并清理关停钓鱼网站,避免被当做企业真实业务利用。

  2. 明确组织真实资产范围,整理容易混淆的“亲友公司”资产列表。

除了以上这四种资产外,组织需要梳理的资产其实还有很多,比如云上资产、互联网IP以及开放端口、域名信息、备案信息、物联网设备等等,这些资产整理的工作繁重但又必须全面,才能保障在HW中真正做到“安全可控”。

声明:本文来自数字观星,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。