企业如何梳理自身互联网暴露面

　　一、互联网暴露面梳理的重要性

　　当前，互联网新技术的产生推动着各种网络应用的蓬勃发展，网络安全威胁逐渐蔓延到各种新兴场景中，揭示着网络安全威胁不断加速泛化。当前网络存在着许多资产，这些资产关系到企业内部的安全情况，然而这些资产可能被攻击者利用，从而使得恶意攻击者能够获取敏感信息或者控制网络，如何避免上述问题产生，如何梳理企业资产暴露面是关键。

　　帮助企业梳理互联网暴露面资产尤为重要，旨在识别和评估组织或系统在网络上暴露给潜在攻击者的风险和漏洞，帮助企业了解可能受到攻击的所有可能入口和弱点。

　　二、互联网暴露面梳理思路

　　互联网暴露面检查主要以人智结合方式，在当前收集的资产信息基础上，进一步确认和挖掘企业暴露在互联网的未知资产，发现可能存在的安全隐患，进行梳理、分析，并提出处置建议。

　　主要根据资产表、企业敏感信息关键字等相关信息，通过各类工具扫描、资产平台测绘，再以人工核验的方式，同时结合企业信息化负责人访谈的结果。

　　互联网暴露面梳理主要从以下4个方面作为参考点进行分析，具体内容如下：

　　(一)互联网IP地址及域名暴露面

　　1、确定互联网出口地址：参考资产表中相关信息，结合企业当前网络拓扑，确认所有出口IP信息。

　　2、域名收集：搜索引擎查找，输入“site:xxx.com”;通过资产测绘网站获取，如微步在线、站长工具、DNSDUMPSTER、censys.io等;采用工具爆破方式，如fierce、dnsdict6、Layer子域名挖掘机。

　　3、自动化收集：启用网络、网络安全等设备的未知资产探测功能，对所有经过设备等数据包进行自动化分析，查找资产表之外的相关资产。

　　根据检查结果，将新发现IP、域名及其对应的服务器、应用等信息，补充至资产表中。

　　(二)端口及服务暴露面

　　1、参考资产表中的端口映射信息。

　　2、使用相关工具的资产识别功能，如nmap、masscan等工具进行交叉验证。

　　3、采用人工测试扫描，和自动化工具结果进行对比，确保准确性。

　　针对高危端口，与运维团队确认其用途，评估其对外开放的必要性。高危端口为数据库端口、各类应用端口等，尽可能关闭非必要性对外开放端口，减少资产暴露面。

　　(三)业务应用系统暴露面

　　1、结合资产表中的网络拓扑图、端口映射信息和网络及安全产品清单进行初步收集。

　　2、与企业信息化负责人访谈进行确认，VPN、堡垒机、云桌面等应用管理控制台不得对互联网开放，检查VPN、堡垒机、云桌面用户认证是否采用双因素认证，是否启用密码复杂度，是否开启防爆破攻击策略，是否对接入用户进行权限划分等。

　　3、针对端口进行服务识别，检测指纹并梳理出web应用。

　　4、针对梳理出的web应用，结合扫描工具，资产表和运维团队访谈的结果，确认技术架构(脚本语言，数据库，web框架)，内容管理系统(例如：wordpresss，joomla等)。

　　针对梳理出的web应用，和业务系统人员确认以下信息：

　　(1)建议关闭非必要对外开放的web业务。

　　(2)建议关闭非必要对外开放的web应用端口，如7001、8080、9080等端口。

　　(3)建议关闭对外开放的web管理后台页面;检查对外开放的web用户登录页面应检查是否具备防爆破能力、是否加入安全设备的防爆破保护模块、部署Waf防止恶意爬虫、目录扫描等违规操作。

　　(四)敏感信息暴露面

　　在查找源代码暴露情况下，可以通过御剑等后台扫描工具，使用备份文件名字典进行扫描;根据与企业提供的关键字在github等代码分享、托管平台进行搜索查寻;通过各种云盘进行搜索查寻，对于扫描发现的网站后台备份文件，并进行清除。对于在github等代码托管平台发现的源代码泄露事件，定位相关责任人，并要求尽快进行清除。

　　在查找个人信息暴露情况下，首先，我们需要明确企业信息在互联网上是必要的，但不宜暴露过多，过多可能会给攻击者提供额外的信息，如员工姓名、身份证号、邮箱等，信息暴露可能会给攻击者提供进行社会工程学攻击，如在攻防演练中的网络钓鱼。同时在搜索引擎中能明确发现的员工信息、社工库泄露的员工信息，建议对这些人员要进行提醒，防止被攻击者利用。

　　三、互联网暴露面风险的防护策略

　　(一)互联网探测

　　建议部署空间测绘相关设备，根据企业提供的相关信息对互联网测进行24小时探测，一旦发现相关资产立刻和管理员同步。目前绝大多数产品具有对未知资产探测功能，可以对流量进行分析，找出未知资产。

　　(二)定期开展风险评估

　　确保所有网络设备、系统和应用程序都使用强密码和多因素身份验证，以减少未经授权访问的风险。

　　及时对网络设备、系统和应用程序进行更新，根据厂商发布的风险提示进行修复，减少漏洞隐患。

　　(三)开启访问控制策略

　　确保只有授权人员能够访问敏感数据和网络资源，限制外部访问，并使用网络隔离技术来划分安全区域。

　　(四)开启设备水印功能

　　对新添加资产进行注册认证，经管理员进行审核，同时下发管控软件及杀毒软件，通过之后才允许正常访问网页。同时对资产登记完成的设备添加水印，保证员工使用电脑时留痕，减少发生信息外泄的途径，同时在发生信息外泄时，能定位到信息外泄的个人。

　　(五)其他可能存在的风险点

　　1、关注任何新建业务系统及升级改造的业务系统，防止服务商未经允许将没有经过安全评估的系统发布到互联网侧。

　　2、加强对物联网设备的监控，如安防系统、大屏控制系统等。

　　四、互联网暴露面梳理的应用

　　通过以上方法，对企业在互联网侧的IP、域名、服务、业务系统、敏感信息进行梳理，梳理出了一些未经企业相关部门允许私自发布到互联网侧的相关资产;及时对发现的资产进行定位，与此同时对发现的未知资产进行安全评估，进一步降低发生网络安全事件等风险，行成企业暴露面全景图，为企业网络安全信息系统建设提供参考依据、并能够增加企业网络的防护水平。