如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互联网暴露面资产进行探测,主要围绕域名、IP进行信息收集。
你了解过你所在的企业有多少资产暴露在外网吗?
通过防火墙发布外网,这里的内外网映射关系+域名解析记录,构成了一条完整的网络链路,而这些链路决定了有多少资产暴露在互联网上。 不少企业都存在资产不清晰的问题,各种历史遗留问题,如业务端口开通没有进行登记管理,或者项目交接、人员调动等客观因素,导致企业外网资产一直存在混乱状态,隐形资产成为了攻击者的切入点。
站在攻击者的角度来做防护,我们需要做一个全面的信息资产梳理。
梳理思路:内外网IP与端口映射 --> 确认服务器管理员 --> 业务系统及描述 --> 域名访问地址
面对几百条映射规则,一条条重新梳理过去,真的是个极其考验耐性的任务。在这梳理的过程中,会发现一些显而易见却往往被忽视的安全风险问题。
1.外网开放了高危端口,如3306、1521等数据库敏感端口。
2.内部应用系统开放外网访问。
3.只需开放移动端,却把PC端和管理后台一起开放到了外网。
4.不再使用的旧系统或已完成测试的业务系统没有做下线操作。
5.服务器资源已回收,网络链路关系未清除,服务器IP重新分配给新的业务系统,导致新的业务系统被放到了外网。
从这些安全风险来看,本质上,我们急需解决两个比较核心的问题:
1.开放了哪些业务端口,这些业务端口是否存在风险?
2.缺乏有效的回收机制,不良资产如何及时进行回收?
我们采取了一些改进措施,来进一步加强和改进外网资产管理,从以下4个方面入手,进行外网资产安全治理。
1.资产梳理,全面梳理当前业务系统的使用状况,并以此作为模板,做到线上线下统一。
2.清理回收,在资产梳理的基础上,清理停止更新维护的旧系统或已完成测试的业务系统,并形成有效的有效的资产回收机制,从域名解析+内外映射+服务器资源,资源回收一条龙服务。
3.登记审核,新的业务系统,进行登记审核,评估业务开放的合理性。业务开通登记,确认业务使用用途,临时或永久,对所要开放的业务进行安全评估。
4.定期盘点,对资产清单定期清查,发现不符的,及时通知整改。
外网资产梳理,其实就是搞清楚每一条域名解析所指向的业务及访问地址,弄明白内外网IP与端口映射。
资产业务流:子域名–> 外网IP+端口–>内网IP+端口–>业务描述 --> 负责人
资产回收流:负责人确认停止维护–> 子域名取消 --> 内外网映射disable --> 服务器资源回收。
作为一个安全/运维工程师,你所管理的资源就是企业的信息资产。比如域名管理,如果你只是关注域名什么时候到期,那么你做的就太过于粗糙了。这里,还有一个很重要的工作就是域名解析,把每一次的域名解析当成资产租借关系的话,你就会在意你的每一笔资产支出是借给了谁,它的用途的是做什么,长期租用还是短期借用,什么时候可以归还,以及如何减少坏账损失。
最简单的是道理,最难的是实践。
资产梳理,从混乱到有序,而进一步如何做好企业资产管理,这是一个值得去深究的问题。
658
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
