攻击面是未经授权即能访问和利用企业数字资产的所有潜在入口的总和,包括硬件、软件、云资产和数据资产,也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等,即存在可能会被攻击者利用并造成损失的潜在风险。
攻击面管理将成为组织数字安全风险防范的重要组成部分,并作为底层技术架构或能力模块,支撑多元化的风险管理。
相关的数字安全风险类型见下图。
根据《中国攻击面管理市场研究报告》中“对公网泄露数据管控情况”的调研分析结果:绝大多数企业都不了解公网上是否存在企业泄露的数据,占到了66.7%,知道有泄露数据但不清楚数据内容和范围的占到了21.7%,仅有2.1%的企业对泄露数据内容较为了解,并采取了一些手段进行监控和管理。
以下为某组织数据暴露面的基本信息展示,包括了泄露的邮箱、代码、文档、人员信息、暗网情报、社交账号等。
3.1 代码泄露监测控
对主流代码托管类平台包括Github、Gitee等进行监测,及时发现组织代码泄露,并对发布者进行溯源。
3.2 文件共享平台监控
-
网盘:百度网盘、新浪网盘、天翼云盘、阿里云盘、115网盘、腾讯微盘、夸克网盘、移动云盘、蓝奏云盘等。 -
文库:百度文库、豆丁文库、道客巴巴等。
3.3 深网/暗网监控
3.4 互联网信息获取
搜索引擎类:如百度、谷歌、Bing等;
资产探测平台如:Shodan、Zoomeye、FOFA、Quake、Censys等;
社交媒体:微信公众号、微博、知网、知乎等;
招聘网站:51job、BOSS直聘等第三方招聘网站。
3.5 资产失陷监控
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):基于情报的“攻击面管理”之(4):数据暴露面风险
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论