军机故阁 

XXXX集团股份有限公司

技战法

         

         

         

         

         

         

x年x月x日

         
 

         

目 录

1 背景 1

2 目标 1

3 排查范围 1

3.1 对外暴露情况排查与整改 1

l 各级业务对外暴露情况排查与整改 1

l 各业务内部暴露情况排查与整改 2

l 业务端口对外暴露情况排查与整改 2

l 网络接入安全能控制排查与整改 2

l 资源管理权限排查与整改 2

4 总结 3

敏感信息排查技战法

1背景  

在当前互联网日益发展的背景下，互联网成为生活中不可或缺的一部分。对于国家重要行业领域，互联网资产信息尤为重要，非法攻击者通过对企业进行大面积信息收集，查找企业暴露在互联网中的重要数据信息以及容易突破的互联网缺口，对其进行非法利用，可能对企业带来信息泄漏等重大安全事件。

2目标  

排查现有业务的安全隐患与漏洞，及时清除安全风险；通过严密有序的监控和组织有序的响应，及时发现并封堵安全威胁，保障相关业务安全可信；排查业务网站在公共网络的暴露情况。

3排查范围  

3.1对外暴露情况排查与整改  

对业务网站及系统采用关停并转的方式，进一步减少其在互联网上的暴露面，并通过集中、统一防护的手段，进一步加强网站及系统的网络安全防御能力，降低网站和系统被攻击风险。主要包括以下几个方面：

检查项	检查子项
对外暴露情况排查与整改	各级业务对外暴露情况排查与处置
	各业务内部业务面与管理面排查与整改
	业务端口对外暴露情况排查与整改
	网络接入安全控制排查与整改
	资源管理权限排查与整改

l各级业务对外暴露情况排查与整改

检查并确认相关的业务系统名称、梳理，对于非必须业务采取关、停、并、转策略，减少对外暴露面。避免因准生产业务版本落后存在漏洞而影响护网成果。

l各业务内部暴露情况排查与整改

检查所有相关的业务网站对外暴露情况，包括：网站URL、管理后台、违规发布等，根据前期收集的业务信息，确认网站URL、业务端口、管理后台等情况检查其对外开放情况、安全防护配置等，确保网站应用根据业务需求对外开放相关URL或端口，避免非业务端口以及网站管理后台对外暴露等情况。

l业务端口对外暴露情况排查与整改

严格控制各业务系统对外暴露的端口信息，禁止业务间护网关系开放权限过大等情况存在，防止红队拿下某个业务系统中内网横向渗透导致业务大面积暴露的情况发生。

l网络接入安全能控制排查与整改

对内网接入权限等入口进行审查，各业务子网ACL策略、子网内各主机安全组策略，将主机管理权限限制到32位掩码IP地址（如：堡垒机、VPN地址），不同主机之间使用不同密码，且符合密码复杂度要求。

在护网期间强制对所有用户进行多因子认证方式绑定，避免由于账号信息泄露导致红队直接入侵内网的事件发生。

l资源管理权限排查与整改

护网前已对所有拥有资源管理权限的账号进行排查整改，包括登录账号和管理员账号进行集中排查，对不符合密码管理要求的账号进行通知修改，确保账号信息专人专用，在护网前已对所有相关管理员账号密码下发通知，要求进行统一修改，避免由于人为失误导致的账号信息泄露。

         

4总结  

攻击者往往不会正面攻击防护较好的系统，而是找一些边缘资产下手。边缘资产直接暴露在公共网络中，且防护相对薄弱，受到外部攻击者的威胁较大。相对于企业内部资产，所面临的安全风险更高。

经过对外暴露情况排查与整改，帮助企业充分了解了自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息，梳理了对外的业务资产，加强了相关业务防护策略，完成了对外暴露攻击面的收敛工作。

从护网行动开始以来，共计发生告警XX起，真实告警X起，其余告警由集团漏扫引起，已判定为误报，输出溯源报告X份，违规发布报告X份，并输出每日日报，按时上报集团。未发生重大安全事件。

原文始发于微信公众号（可汗安全团队）：蓝队日报&技战法模板分析