一、利用情报收缩攻击面
1、背景与目的:
攻击队主要采用两种方式获取内网权限:一种是利用企业暴露在外的服务器端口和业务系统本身的0day或Nday,这些都是通过正常手段入侵内网,并通过横向移动获取整个内网。另一种是通过敏感信息收集,主要通过爬虫、暗网、GitHub、码云、文库等方式收集企业人员信息、业务系统代码、域名、用户名、证书等信息,进而配合钓鱼邮件或代码审计等计数手段,入侵内网。该技战法的主要目的是利用外部威胁情报监控能力和威胁情报关联,发现企业暴露在互联网上的服务端口以及企业泄露在公网的敏感信息如(邮箱、账户、密码、代码)等,指导安全运维人员收缩资产暴露面,并对泄露的账号密码进行提前加固整改。
2、防守思路:
企业相关的IP、域名资产与威胁情报基础信息pDNS关联,可以通过信息资产扩展发现企业未记录的资产。进而通过情报查询获取企业IP、域名资产开放的端口、关联的证书信息,因此安全运维人员可以通过此类方法收敛外网攻击面,同时安全运营人员可以通过关键字(例如:企业名称、简称、域名等敏感信息)在搜索引擎、fofa.so、zoomeye.org等检索与企业相关的敏感词,识别企业泄露在外的邮箱、账号、密码等信息。另外,还可以通过漏洞收集网站对业务系统进行检索如乌云、CVE漏洞库等获取当前版本业务系统存在的漏洞信息。企业安全运维人员可以根据收集的情报对业务系统、账号进行重点监控和加固。此技战法主要以攻击者的视角在
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
