HVV技战法 | 深壁固垒互联网暴露面收缩

在当今信息化时代，网络安全已成为企业发展的基石。通过系统地收缩互联网暴露面，不仅可以提升防护水平，还能为未来的信息系统规划提供重要依据。今天，我们将分享中国XXX集团有限公司在互联网暴露面收缩方面的成功实践，展示如何通过技术手段与管理策略构筑坚不可摧的网络安全防线。

一、背景与目标

互联网暴露面检查是通过人工和技术手段，识别并分析组织单位在互联网的已知和未知资产，发现潜在的安全隐患。通过详细的检查和结果梳理，我们能够提出切实可行的优化建议，为未来的信息系统规划和调整提供坚实的基础。同时，这也增加了攻击者的攻击难度，提升了整体安全性。

二、整体收缩思路

我们的分析主要基于以下几个方面：

1. 资产识别表/梳理表

2. 组织单位敏感信息关键字

3. 各类工具扫描及人工检查结果

4. 网络负责人的访谈和沟通

暴露面检查从以下五个方面入手：

1. 互联网IP地址及域名

2. 端口服务

3. 应用

4. Web应用

5. 敏感信息

三、暴露面收缩具体实施方法与处置方法

域名、IP：

- 信息来源：资产梳理中的互联网IP地址表、搜索引擎（site:xxx.com）、微步、站长工具、DNSDUMPSTER、censys.io、工具爆破（fierce、dnsdict6、Layer子域名挖掘机）

- 措施：

1. 确认无归属域名及其对应的服务器、应用信息，补充至资产识别表的DMZ区资产表中。

2. 确认无归属IP及其相关信息，补充至资产识别表的互联网IP地址中。

3. 使用CDN技术。

端口服务：

- 工具使用：TSS工具的资产识别功能、nmap、masscan

- 措施：

1. 确认高危端口的用途及对外开放的必要性，尽可能关闭非必要的对外开放端口。

应用：

- 信息来源：资产收集表中的网络拓扑图、端口映射表、网络安全产品清单

- 措施：

1. 管理控制台、后台不得对互联网开放，检查用户认证是否采用双因素认证，提升安全性。

Web应用：

- 信息来源：端口识别服务、TSS扫描工具、资产梳理表、运维团队访谈结果

- 措施：

1. 关闭非必要对外开放的web业务和web应用端口，确保对外开放的web用户登录页面具备防爆破能力。

源代码：

- 工具使用：御剑等后台扫描工具、备份文件名字典

- 措施：

1. 清除扫描发现的备份文件，追究责任人并清除代码泄露事件。

四、暴露面收缩成果

在临战前，我们根据最新梳理的资产清单，对虚拟化服务器和物理服务器进行存活扫描，并确认其存活状态。同时，我们梳理负载均衡设备、互联网防火墙的域间策略和ACL策略，筛选出涉及高危端口和非核心业务的策略，确保安全性。

通过Nmap端口扫描工具和FOFA搜索引擎，我们对各个IP地址段进行扫描，发现并确认无误的互联网资产，并对其进行暴露面收敛。

五、后续工作与补充

端口存活性探测的准确性会受扫描设备运行状态、网络环境等因素影响，因此建议对扫描结果进行人工验证，并结合多种扫描工具（nmap，masscan）进行交叉验证，避免出现漏端口或服务的情况。

六、总结成效

通过互联网暴露面的收缩，我们减少了攻击者在信息收集阶段能够获取的信息，增加了攻击难度。同时，这一过程也方便了互联网暴露资产的漏洞自查和修复。互联网暴露面收缩本质上是资产梳理的一部分，只有摸清家底，才能完善管理，构建坚固的网络防线。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：HVV技战法 | 深壁固垒--互联网暴露面收缩