![攻防演练实战派 | 网络空间资产盘点十大“避坑”指南!]( "攻防演练实战派 | 网络空间资产盘点十大“避坑”指南!")
国家级攻防演练是涉及国家级关键信息基础设施的大事,今年也是《关键信息基础设施安全保护条例》落地的第一年,所以攻防演练就更成为大家关注的焦点。
知道创宇历次参与国家级攻防演练,展现不俗能力的同时,也收获了货真价实的“实战经验”。对于国家级攻防演练来说,时时刻刻都在备战中一点不为过,如果可以将“战时”的准备措施落实到日常的网络安全维护工作中去,当然是最理想的状态。
资产盘点及梳理是攻防演练公认的第一步--只有夯实资产数据基础,才能基于其上构筑完善的网络空间“防御工事”。根据知道创宇作为众多企业“主防护”角色的实战经验,资产梳理任务繁重,且“暗坑”遍布,那么如何可以在资产梳理时避开这些“天坑”,顺利构建起“基础数据工事”呢?
就让我们逐一来盘一盘这些“坑”,分享一下最全“避坑”指南,迈出真正建立“挂图作战”的第一步。
人工进行资产收集优势不容回避,准确、详实,可是在“备战时期”,无疑其速度慢,全面性差的劣势会更加明显,所以,“避坑指南”第一条,选一个趁手的“武器”,是赢得战争的第一步。
在备战期,知道创宇的安服人员,都是使用ZoomEye Pro网络空间资产安全管理系统为客户进行资产梳理的,算是实战检验的趁手武器之一,推荐您试一试,替代人工,高效备战。
大规模集团企业、组织机构,网络空间资产在地理位置和组织架构中分布分散是常态,很容易导致前期资产数据收集不完全。
一旦遗漏资产被攻击者发现,作为跳板,内网也容易被攻陷。此前也确实有集团企业因二级单位资产收集不完全,导致集团内网被攻陷,所以资产收集务必全面,尤其是那些不起眼的“暗资产”。
资产收集的手段全覆盖,是保障资产收集完全的前提条件,ZoomEye Pro就集成了自动导入、主动探测、被动流量分析、交换机信息获取及云端资产筛查五种资产收集渠道,力保资产收集最全面,真正杜绝“暗资产”存在。
域名资产是网络空间中重要的资产,也因为很多对外服务通过网站的方式实现,所以域名资产很容易成为企业对互联网的暴露资产,沦为攻击者的突破点。可是如果域名资产没有进行统一管理的话,那么就会造成域名资产没法收集,也没法查看。
因为ZoomEye网络空间搜索引擎会对全球网络空间资产进行不间断的探测和信息收集,所以要解决这一点,完全可以通过对自身相关域名进行搜索的方式进行查看,将域名资产进行统一搜索和清点。
ZoomEye Pro可以直接使用ZoomEye账号进行搜索,相关结果还可以直接加入资产列表,省时省力还确保全面。
不管最近大热的攻击面管理,还是一直以来备受关注的“网络空间资产暴露面”,都是涉及互联网上的组织资产,这方面的资产收集要点,还是两个字“全面”。实际操作可以考虑从两个方面入手:
其一,域名资产及IP资产,均可以通过ZoomEye账号进行搜索收集;
其二,如果对公司IP资产有固定的网段覆盖,则可以通过ZoomEye Pro主动探测+ZoomEye针对性搜索的方式进行搜集。
互联网资产的特点是筛查基数大,内网资产的特点是真正的数量庞大,所以要兼顾所有内网资产必然会造成安全需求泛滥,反而忽略了真正重要的资产。
根据知道创宇的实际经验,以下资产必须作为重要资产进行防护考虑及安全监管:包括但不限于业务系统、财务系统、邮件系统、域控服务器、防火墙、VPN服务器等。
结合前面的问题,我们标示了哪些需要重点进行防护监管,那么怎么可以快速定位这些资产呢,其实是一脉相承的问题,ZoomEye Pro也给出来针对性的解决方案。ZoomEye Pro内置进行12大类、142个二级分类标准划分,可以对发现资产进行自动的分类呈现,这样再比照我们提出来的需要重点关注的资产分类,就可以很快将重点资产标示出来进行重点管理了。
区分出重点系统,那么不重要的系统也随之出现,在“战时”根据其重要程度进行关停或者下线也是必要的防御手段。
找到了重点资产,也进行了针对性的安全分析,需要维护整改,却没有运维权限,找不到负责人才是真的“坑”。
所以,在最初进行资产盘点的时候,一定要注意:资产盘点不光要盘资产,还要“盘人”,也就是把重点资产对应到负责部门,最好是对应到负责人,可以随时进行风险点的整改或者安全事件的响应,才能避免在“战时”,因为找人而错失战机甚至造成难以挽回的“损失”。
ZoomEye Pro的自动对接组织架构功能可以减少“划分责任到人”的工作量,也从根本上对大家进行提醒,就是资产盘点中落实责任人的重要性!
谈到资产就和漏洞息息相关,资产的风险也大部分与其存在的漏洞呈最相关,目前的VPT理念就是更强调漏洞对于资产的实际影响,也让资产的漏洞管理更具有可操作性。
其实知道创宇很早就注意到了漏洞的定级其实与其利用的难度,及对资产的影响范围有很大的关联,单一关注漏洞的分级,对于指导资产安全防护意义不大。
所以,ZoomEye Pro中集成的漏洞POC,80%以上为高危漏洞,且都是经404实验室评估为极易被利用的漏洞,这样从漏洞集成的角度考虑减少漏洞报警与提醒,增强资产漏洞管理的可操作性。所以经由ZoomEye Pro扫描发现的漏洞,需要高度重视,并进行修复落地。
高危特征包含高危服务、高危组件和高危端口,这些特征在漏洞爆发,或者安全事件爆发时被认定为极易使资产受到影响的特征,需要进行及早的排查和处理。
基于前面资产盘点的成果,ZoomEye Pro 可以一键进行高危特征搜索定位,指导这些特征的应对或者关停。用户还可以自建高危特征集,对资产进行自动的监控,一旦发现有资产存在高危特征可以进行自动报警提醒。
弱口令问题才真的是每次“挖坑”的老面孔,为了一时的方便也给攻击者大开了“方便之门”,口令爆破和弱口令尝试也是攻击者的攻击工具首选,期望总有两个“漏网之鱼”可以交给他们打开“新世界”的钥匙。
所以,“弱口令消除”是必选中的必选,不管是自定义词典还是内置词典,ZoomEye Pro都可以进行支持,其实操作起来简单又方便,作用却非常大非常必要。
以上,就是知道创宇经验总结之攻防演练第一步,也就是资产盘点的十个大“坑”,并且附上了完整的“避坑”指南。
目前的时间段是最适合的资产数据准备时机,依然如最初所言,如果可以将这些“避坑”手段修炼成“日常工作”指南,可以极大的提升备战的效率,提升网络空间资产数据的质量。
以全面精确的网络空间资产数据为基础,才可以应对“战时”更严格的网络暴露面控制,以及非黑即白的IP规则策略,简言之就是为攻防演练期间的“挂图作战”打好坚实的基础。
当然,攻防演练第一步至关重要,也需要花费不少精力和时间,知道创宇也总结历次经验,推出了实用的备战工作指南,而且,工作指南更注重可操作性、落地性,不要“演”,就要“干”!
希望这个指南,能真正对您有所触动和帮助,后续我们还会推出“战时”指南,“主动防御”指南,期待您的持续关注!
![攻防演练实战派 | 网络空间资产盘点十大“避坑”指南!]( "攻防演练实战派 | 网络空间资产盘点十大“避坑”指南!")
扫码领取攻防演练干货资料
免费定制方案
原文始发于微信公众号(知道创宇):攻防演练实战派 | 网络空间资产盘点十大“避坑”指南!
评论