01为什么要做梳理?
面向互联网的系统暴露的信息越多,如端口、后台管理系统、与外单位互联的网络路径等信息,越容易被攻击者盯上 ;攻击者往往不会正面攻击防护较好的系统,而是通过一些单位机构自己都未记录或防护不严的信息资产发动攻击。所以需要对单位机构资产进行梳理,资产梳理后可以确定主机漏洞、弱口令扫描、web应用漏洞、基线配置的目标,排查无备案、无管理、无防护的信息资产,收集信息资产开发端口服务,作为关闭非必要端口和加强端口访问策略提供依据,整理重点资产,作为有限防护资源分配的参考。
02梳理哪些内容?
知己知彼百战百胜,攻击者所想要利用的信息,单位机构内部一定要自己知道,这样才能做好及时加固防护,因此根据攻击者现主流攻击的目标及目标相关信息确定梳理的内容有如下:
1、根据需要可选择不同角度对资产进行资产分类:
2、收集明确归口的信息系统资产信息:(数据库,中间件、群件系统、各商业软件平台、后台地址、使用框架、敏感目录等)。
3、 统一排查发现未确定归口部门的资产,确定其归口管理部门。
4、 梳理资产对应的开放端口、服务,并明确其用途。
5、 梳理易受攻击应用系统目标(重点资产)。
6、 梳理存储敏感数据(用户数据、源代码数据)的资产。
7、 梳理安全防护资源。
03怎么做梳理?
资产梳理总体流程
1、人工确认资产列表或安全管理平台导出资产信息。
2、资产信息核对,补充和更新如端口、服务、补丁版本、更新时间等,对未知资产确认归口,完善全部信息。
3、对未知资产进行归口,更新和确认归口,输出最新资产列表。
资产列表
资产列表是资产梳理的最终输出,为后续漏洞扫描、基线配置等提供基础信息。根据内网、互联网资产、接口清单、服务器等分类,可以建立不同角度的资产表,资产列表的内容可以包含但不局限于以下内容:
资产信息来源
信息资产收集主要是由单位机构各部门提供,管理员提供基础资产列表;开发人员提供更详细的应用系统信息,如了数据库、Web中间件、域名、后台地址、使用框架和是否使用CMS,敏感目录;运维部门的网络工程师提供网络的拓扑结构、各类防护设备的策略等。
04信息资产盲点处理方法
未知信息资产收集
“三无”信息资产是攻击者攻破单位机构内部网络最容易利用的踏板,因此梳理未知资产是梳理资产的重中之重,避免单位机构内部统计错误疏漏。我们可以通过以下方法对未知资产进行收集:
1、通过一些网站、工具以扫描的方式去探测未知资产。存活列表与资产列表进行对比,筛选无归口资产并与管理员确认资产用途。将开放端口、服务信息与资产匹配,重点筛选HTTP/HTTPS/FTP/SMTP/POP3/RADIES/RDP/NTP/数据库端口,并与相关人员确认。
2、通过监控手段收集未知资产。如在边界防护设备中获取被访问目标IP、web链接。
3、通过网络拓扑和网络策略分析。如在防火墙策略中是否存在未备案的策略信息。
未知信息资产的处理
05中心思想
通过梳理信息资产,摸清单位机构自己信息资产家底,了解自身基本情况,初步识别存在的风险,减少单位机构网络被攻击面,为后续进一步自查提供基本信息支撑。
核心
确保梳理无遗漏,处理无归口资产,标记重点防护资产,为后续防护决策等提供基础信息。