友情提示:本文共1200+字,預計閱讀3分鍾。關鍵詞:隱形資產、資產梳理、摸清家底、資產安全治理
如果要入侵一台服務器,從開放的端口服務下手;那么,如果要入侵一家企業,從互聯網暴露面資產進行探測,主要圍繞域名、IP進行信息收集。
你了解過你所在的企業有多少資產暴露在外網嗎?
通過防火牆發布外網,這里的內外網映射關系+域名解析記錄,構成了一條完整的網絡鏈路,而這些鏈路決定了有多少資產暴露在互聯網上。不少企業都存在資產不清晰的問題,各種歷史遺留問題,如業務端口開通沒有進行登記管理,或者項目交接、人員調動等客觀因素,導致企業外網資產一直存在混亂狀態,隱形資產成為了攻擊者的切入點。
站在攻擊者的角度來做防護,我們需要做一個全面的信息資產梳理。
梳理思路:內外網IP與端口映射 --> 確認服務器管理員 --> 業務系統及描述 --> 域名訪問地址
面對幾百條映射規則,一條條重新梳理過去,真的是個極其考驗耐性的任務。在這梳理的過程中,會發現一些顯而易見卻往往被忽視的安全風險問題。
-
外網開放了高危端口,如3306、1521等數據庫敏感端口。
-
內部應用系統開放外網訪問。
-
只需開放移動端,卻把PC端和管理后台一起開放到了外網。
-
不再使用的舊系統或已完成測試的業務系統沒有做下線操作。
-
服務器資源已回收,網絡鏈路關系未清除,服務器IP重新分配給新的業務系統,導致新的業務系統被放到了外網。
從這些安全風險來看,本質上,我們急需解決兩個比較核心的問題:
-
開放了哪些業務端口,這些業務端口是否存在風險?
-
缺乏有效的回收機制,不良資產如何及時進行回收?
我們采取了一些改進措施,來進一步加強和改進外網資產管理,從以下4個方面入手,進行外網資產安全治理。
-
資產梳理,全面梳理當前業務系統的使用狀況,並以此作為模板,做到線上線下統一。
-
清理回收,在資產梳理的基礎上,清理停止更新維護的舊系統或已完成測試的業務系統,並形成有效的有效的資產回收機制,從域名解析+內外映射+服務器資源,資源回收一條龍服務。
-
登記審核,新的業務系統,進行登記審核,評估業務開放的合理性。業務開通登記,確認業務使用用途,臨時或永久,對所要開放的業務進行安全評估。
-
定期盤點,對資產清單定期清查,發現不符的,及時通知整改。
外網資產梳理,其實就是搞清楚每一條域名解析所指向的業務及訪問地址,弄明白內外網IP與端口映射。
資產業務流:子域名--> 外網IP+端口-->內網IP+端口-->業務描述 --> 負責人
資產回收流:負責人確認停止維護--> 子域名取消 --> 內外網映射disable --> 服務器資源回收。
作為一個安全/運維工程師,你所管理的資源就是企業的信息資產。比如域名管理,如果你只是關注域名什么時候到期,那么你做的就太過於粗糙了。這里,還有一個很重要的工作就是域名解析,把每一次的域名解析當成資產租借關系的話,你就會在意你的每一筆資產支出是借給了誰,它的用途的是什么,長期租用還是短期借用,什么時候可以歸還,以及如何減少壞賬損失。
最簡單的是道理,最難的是實踐。
資產梳理,從混亂到有序,而進一步如何做好企業資產管理,這是一個值得去深究的問題。