01為什麼要做梳理?
面向網際網路的系統暴露的資訊越多,如端口、背景管理系統、與外機關互聯的網絡路徑等資訊,越容易被攻擊者盯上 ;攻擊者往往不會正面攻擊防護較好的系統,而是通過一些機關機構自己都未記錄或防護不嚴的資訊資産發動攻擊。是以需要對機關機構資産進行梳理,資産梳理後可以确定主機漏洞、弱密碼掃描、web應用漏洞、基線配置的目标,排查無備案、無管理、無防護的資訊資産,收集資訊資産開發端口服務,作為關閉非必要端口和加強端口通路政策提供依據,整理重點資産,作為有限防護資源配置設定的參考。
02梳理哪些内容?
知己知彼百戰百勝,攻擊者所想要利用的資訊,機關機構内部一定要自己知道,這樣才能做好及時加強防護,是以根據攻擊者現主流攻擊的目标及目标相關資訊确定梳理的内容有如下:
1、根據需要可選擇不同角度對資産進行資産分類:
2、收集明确歸口的資訊系統資産資訊:(資料庫,中間件、群件系統、各商業軟體平台、背景位址、使用架構、敏感目錄等)。
3、 統一排查發現未确定歸口部門的資産,确定其歸口管理部門。
4、 梳理資産對應的開放端口、服務,并明确其用途。
5、 梳理易受攻擊應用系統目标(重點資産)。
6、 梳理存儲敏感資料(使用者資料、源代碼資料)的資産。
7、 梳理安全防護資源。
03怎麼做梳理?
資産梳理總體流程
1、人工确認資産清單或安全管理平台導出資産資訊。
2、資産資訊核對,補充和更新如端口、服務、更新檔版本、更新時間等,對未知資産确認歸口,完善全部資訊。
3、對未知資産進行歸口,更新和确認歸口,輸出最新資産清單。
資産清單
資産清單是資産梳理的最終輸出,為後續漏洞掃描、基線配置等提供基礎資訊。根據内網、網際網路資産、接口清單、伺服器等分類,可以建立不同角度的資産表,資産清單的内容可以包含但不局限于以下内容:
資産資訊來源
資訊資産收集主要是由機關機構各部門提供,管理者提供基礎資産清單;開發人員提供更詳細的應用系統資訊,如了資料庫、Web中間件、域名、背景位址、使用架構和是否使用CMS,敏感目錄;運維部門的網絡工程師提供網絡的拓撲結構、各類防護裝置的政策等。
04資訊資産盲點處理方法
未知資訊資産收集
“三無”資訊資産是攻擊者攻破機關機構内部網絡最容易利用的踏闆,是以梳理未知資産是梳理資産的重中之重,避免機關機構内部統計錯誤疏漏。我們可以通過以下方法對未知資産進行收集:
1、通過一些網站、工具以掃描的方式去探測未知資産。存活清單與資産清單進行對比,篩選無歸口資産并與管理者确認資産用途。将開放端口、服務資訊與資産比對,重點篩選HTTP/HTTPS/FTP/SMTP/POP3/RADIES/RDP/NTP/資料庫端口,并與相關人員确認。
2、通過監控手段收集未知資産。如在邊界防護裝置中擷取被通路目标IP、web連結。
3、通過網絡拓撲和網絡政策分析。如在防火牆政策中是否存在未備案的政策資訊。
未知資訊資産的處理
05中心思想
通過梳理資訊資産,摸清機關機構自己資訊資産家底,了解自身基本情況,初步識别存在的風險,減少機關機構網絡被攻擊面,為後續進一步自查提供基本資訊支撐。
核心
確定梳理無遺漏,處理無歸口資産,标記重點防護資産,為後續防護決策等提供基礎資訊。
聯系我們