HVV技战法 | 深壁固垒--互联网暴露面收缩

lettuce

在当今信息化时代，网络安全已成为企业发展的基石。通过系统地收缩互联网暴露面，不仅可以提升防护水平，还能为未来的信息系统规划提供重要依据。今天，我们将分享中国XXX集团有限公司在互联网暴露面收缩方面的成功实践，展示如何通过技术手段与管理策略构筑坚不可摧的网络安全防线。




一、背景与目标


互联网暴露面检查是通过人工和技术手段，识别并分析组织单位在互联网的已知和未知资产，发现潜在的安全隐患。通过详细的检查和结果梳理，我们能够提出切实可行的优化建议，为未来的信息系统规划和调整提供坚实的基础。同时，这也增加了攻击者的攻击难度，提升了整体安全性。




二、整体收缩思路


我们的分析主要基于以下几个方面：


1. 资产识别表/梳理表


2. 组织单位敏感信息关键字


3. 各类工具扫描及人工检查结果


4. 网络负责人的访谈和沟通




暴露面检查从以下五个方面入手：


1. 互联网IP地址及域名


2. 端口服务


3. 应用


4. Web应用


5. 敏感信息




三、暴露面收缩具体实施方法与处置方法


域名、IP：


- 信息来源：资产梳理中的互联网IP地址表、搜索引擎（site:xxx.com）、微步、站长工具、DNSDUMPSTER、censys.io、工具爆破（fierce、dnsdict6、Layer子域名挖掘机）


- 措施：


  1. 确认无归属域名及其对应的服务器、应用信息，补充至资产识别表的DMZ区资产表中。


  2. 确认无归属IP及其相关信息，补充至资产识别表的互联网IP地址中。


  3. 使用CDN技术。


端口服务：


- 工具使用：TSS工具的资产识别功能、nmap、masscan


- 措施：


  1. 确认高危端口的用途及对外开放的必要性，尽可能关闭非必要的对外开放端口。


  
应用：


- 信息来源：资产收集表中的网络拓扑图、端口映射表、网络安全产品清单


- 措施：


  1. 管理控制台、后台不得对互联网开放，检查用户认证是否采用双因素认证，提升安全性。


Web应用：


- 信息来源：端口识别服务、TSS扫描工具、资产梳理表、运维团队访谈结果


- 措施：


  1. 关闭非必要对外开放的web业务和web应用端口，确保对外开放的web用户登录页面具备防爆破能力。


源代码：


- 工具使用：御剑等后台扫描工具、备份文件名字典


- 措施：


  1. 清除扫描发现的备份文件，追究责任人并清除代码泄露事件。


四、暴露面收缩成果


在临战前，我们根据最新梳理的资产清单，对虚拟化服务器和物理服务器进行存活扫描，并确认其存活状态。同时，我们梳理负载均衡设备、互联网防火墙的域间策略和ACL策略，筛选出涉及高危端口和非核心业务的策略，确保安全性。


通过Nmap端口扫描工具和FOFA搜索引擎，我们对各个IP地址段进行扫描，发现并确认无误的互联网资产，并对其进行暴露面收敛。




五、后续工作与补充


端口存活性探测的准确性会受扫描设备运行状态、网络环境等因素影响，因此建议对扫描结果进行人工验证，并结合多种扫描工具（nmap，masscan）进行交叉验证，避免出现漏端口或服务的情况。


六、总结成效


通过互联网暴露面的收缩，我们减少了攻击者在信息收集阶段能够获取的信息，增加了攻击难度。同时，这一过程也方便了互联网暴露资产的漏洞自查和修复。互联网暴露面收缩本质上是资产梳理的一部分，只有摸清家底，才能完善管理，构建坚固的网络防线。