一、背景与目标 互联网暴露面检查主要通过人工方式，在当前收集的资产信息基础上，进一步确认和挖掘组织单位暴露在互联网的已知、未知资产，发现可能存在的安全隐患，并进行结果梳理，整理分析，提出优化建议，是安全自查的一个重要技术手段之一。 通过互联网暴露面的检查，可以更加清楚组织单位信息系统在互联网的开放程度，发现未经授权而暴露在互联网的资产，并进一步通过技术手段降低或解决发现的问题，为今后信息系统规划、建设和调整提供参考依据、并能够增加攻击者的攻击难度。 二、整体收缩思路 分析材料主要来自以下： 资产识别表/梳理表；组织单位敏感信息关键字；各类工具扫描及人工检查的结果；网络负责人的访谈和沟通的结果。 暴露面检查主要从以下5个方面作为参考点进行分析： 1、互联网IP地址及域名 2、端口服务 3、应用 4、web应用 5、敏感信息 三、暴露面收缩具体实施方法与处置方法 域名、IP： --参考资产梳理中互联网IP地址表； --务必结合网络拓扑，【客户名称】团队访谈确认所有出口IP信息，不得遗漏 --搜索引擎查找：site:xxx.com（概率较小） --通过网站获取：微步、站长工具、DNSDUMPSTER（https://dnsdumpster.com/）、censys.io --工具爆破：fierce、dnsdict6、Layer子域名挖掘机 1、根据检查结果，确认无归属域名及其对应的服务器，应用等信息，补充至资产识别表的DMZ区资产表中。 2、根据检查结果，确认无归属IP及其相关信息，补充至资产识别表的互联网IP地址中。 3、使用CDN技术。 端口服务： --参考资产识别表中的端口映射表 --使用TSS工具的资产识别功能 --使用nmap，masscan等工具进行交叉验证 --人工测试扫描结果的准确性 1、针对高危端口，和运维团队确认用途及对外开放的必要性。http，https，ftp，smtp，pop3，radius，rdp，telnet，ssh，各类数据库端口，ssh，各类应用端口（jboss，websphere，weblogic）。尽可能关闭非必要性对外开放端口，减少暴露面。 应用： --堡结合资产收集表中的网络拓扑图、端口映射表和网络，安全产品清单进行初步收集 --与【客户名称】团队访谈进行确认 1、VPN、堡垒机、云桌面等应用管理控制台、后台不得对互联网开放。 2、VPN、堡垒机、云桌面检查用户认证是否采用双因素认证，是否启用密码复杂度，是否开启防爆破功能，是否对接入用户进行权限划分等。 Web应用： --针对端口识别服务，检测指纹并梳理出web应用 --针对梳理出的web应用，结合TSS扫描工具，资产梳理表和运维团队访谈的结果，确认技术架构（脚本语言，数据库，web框架），内容管理系统（例如：wordpresss，joomla等） --针对梳理出的web应用，和业务系统人员确认web后台管理页面，用户登录页面 1、非必要对外开放的web业务进行关闭。 2、关闭非必要对外开放的web应用端口，如weblogic的7001、5566，tomcat、jboss的8080，webshere的9080。 3、关闭所有对外开放的web管理后台页面；对外开放的web用户登录页面应检查是否具备防爆破能力，是否加入安全设备的防爆破保护模块部署Waf防止恶意爬虫，目录扫描等违规操作。 源代码： --通过御剑等后台扫描工具，使用备份文件名字典进行扫描 --根据与【客户名称】提供的关键字在github等代码分享、托管平台进行搜索查寻 --通过各种云盘进行搜索查寻 1、对于扫描发现的网站后台备份文件，并进行清除。 2、对于在github等代码托管平台发现的源代码泄露事件，追究责任人并进行清除。 四、暴露面收缩成果 临战前，我方根据最新梳理的资产清单，共对虚拟化服务器资产xx台、物理服务器xx台进行存活扫描，经确认虚拟化服务器存活xx台，物理服务器存活xx台。 梳理负载均衡设备对外发布的IP、端口及其对应的业务共计xx条。与业务人员逐一核实对外发布业务，筛选出涉及高危端口的映射、非核心业务的映射共计xx条。 梳理互联网防火墙的域间策略xx条、ACL策略xx条，筛选出涉及高危端口的策略1xx条，批量放通的策略xx条。 梳理包含虚拟机、物理机的内网业务服务器xx台，筛选出非核心业务虚拟机xx台，非核心业务物理服务器xx台。 使用Nmap端口扫描工具、FOFA搜索引擎，分别对铁通xx个IP地址段、联通xx个地址段、电信xx个地址段、移动xx个地址段进行扫描，共发现xx个暴露互联网资产，经确认均为【客户名称】系统无误。 护网临战阶段，通过FOFA搜索引擎对股份公司暴露在互联网的资产再次进行搜索，共发现3个关于股份公司暴露互联网资产，经确认1个系统为公司资产，并对其进行暴露面收敛。 五、后续工作与补充 端口存活性探测的准确性会受扫描设备运行状态，网络环境等因素影响，建议对扫描结果进行人工验证，同时结合多种扫描工具（nmap，masscan）交叉验证，尽可能不出现漏端口或者服务的情况。 六、总结成效 互联网暴露面缩小后，减少了攻击者在信息收集阶段获取的信息，增加攻击者的攻击难度；同时也方便进行互联网暴露资产的漏洞自查和修复，其实互联网暴露面收缩本质上也是资产梳理的一部分，是对互联网资产的专项梳理，只有摸清家底，才能完善管理。

借助威胁情报和自动化手段，提升防护处置能力 一、利用情报收缩攻击面 1、背景与目的： 攻击队主要采用两种方式获取内网权限：一种是利用企业暴露在外的服务器端口和业务系统本身的0day或Nday，这些都是通过正常手段入侵内网，并通过横向移动获取整个内网. 2、防守思路： 企业相关的IP、域名资产与威胁情报基础信息pDNS关联，可以通过信息资产扩展发现企业未记录的资产。 3、攻防对抗过程： 在网络安全防护演习正式开始前，一般要提前至少一到两周，根据企业现有IP、资产，利用市面上威胁情报查询服务平台或企业内部自由威胁情报平台，关联企业资产开放服务端口，并利用市场上外部威胁情报监控平台对企业相关的敏感信息进行识别。 4、应用效果： 经过演习，大多数攻击队都是利用暴露的端口、后台或敏感数据进行攻击，毕竟拥有0Day的攻击队并不多。该技战法可以在演习前全面收缩攻击面，最大程度避免演习中被攻破的几率。 二、通过自动化分析脚本对海量共享情报IP进行封禁 1、背景与目的： 经过综合研究分析，演习中情报共享是蓝队防守人员对抗红队攻击者的一个有效的防护手段，蓝队普遍的防御手段也是通过封禁IP来达到安全的目的，但是共享情报的来源并不是准确的，存在大量的误封现象，导致访问异常，而海量IP封禁也对防护设备是一个考验。面对共享情报中的海量攻击IP，如何有效区分存在威胁的Ip是企业遇到的难题 2、思路： 结合情报白名单、IP关联签名及相关属性，并通过调用情报网站API接口进行自动化查询，自动匹配出存在威胁的IP或者剔除白名单IP、网关IP等，生成一份高可信的演习攻击IP，企业可以直接将经过自动化处理的IP进行封禁。 3、攻防对抗过程： 利用情报共享交换群组或者第三方威胁情报厂商快速获取共享情报IP，并导入自动化分析工具。自动化分析工具根据威胁情报网站获取IP相应标签，去除带有CDN、移动基站、网关等IP。 4、应用效果： 避免面对海量IP盲目封禁，导致误拦或防火墙过载的风险。演习中，人员有限，面对海量的共享情报IP无法进行一一识别，使用自动化脚本可以初步筛选后再导入，大大减少了IP误封数量，另外分析处置人员资源有限，面对每天上千僵尸网络的攻击，无法进行实时封禁，可通过态势感知或威胁感知设备API接口信息采集，实现自动化封禁，减少安全运维人员的工作压力，可以让更多的人力资源加入到分析溯源工作中去，从而实现溯源得分。

一、背景与目标 网络安全防护是一项系统性工作，从技术体系建设和管理体系建设两大层面覆盖多项要素。从攻击角度，采用社会工程学方法，利用人的弱点进行攻击，已经成为了普适性的攻击手段。电子邮件作为日常办公的主要工具，是攻击者利用的重要目标，已沦为诈骗、勒索软件攻击的重灾区。在近几年的演习活动中，采用钓鱼邮件获取访问口令或控制系统权限也已经成为了主流的攻击方式 二、制定钓鱼策略及思路 钓鱼邮件内容，诱骗业务部门系统管理员和普通员工点击登录伪造的OA系统，达到获取员工用户名/密码的目的 三、钓鱼邮件实施 1、通过在互联网上对相关新闻，招投标信息等公开资料的查询，获取了*为XXX@xx.com（XXX为信息化部门关键人物）的内部邮件用户名称。 2、通过163*注册XXX_xx@163.com*，达到模仿关键人物*地址的目的。从人性角度分析，163虽然很明显为伪造*，但极易被忽略。 3、伪造钓鱼邮件正文 根据XXXX年XX月XX日，将召开的【客户名称】网络安全专题会要求，并添加了为了防止重保演习期间协同办公系统（OA）账号锁定，需x月x日前登录此地址http://XXX.XXX.XXX.XXX/使用谷歌浏览器/IE浏览器认证OA账号，如未认证登录，可能导致重保期间OA账号锁定，请各位务必进行账号认证的相关诱骗信息。 4、使用公网IP地址搭建Cobalt Strike服务器端，通过客户端进行联通测试。 5、获取中国【客户名称】OA系统登陆界面URL地址，通过Cobalt Strike客户端钓鱼网站克隆功能，伪造OA系统登陆界面，并开启键盘记录功能。 6、获取xx余个【客户名称】内部邮件地址，通过伪造的163*发送。 四、钓鱼邮件成果 捕获用户名/密码后，进一步深入测试，首先通过捕获的用户名/密码成功登录OA系统，又使用同一密码尝试登录邮件系统、统一认证系统、劳务管理等系统均登录成功。从此成果可以得出，钓鱼邮件攻击成本简单，危害性极强。 五、培训宣贯 根据本次模拟的成果，通过【客户名称】全员推送、公众号和即时通广播三渠道发布了钓鱼邮件防范宣贯图文。针对网络安全意识，在公众号推送了包括“安全上网十二条”、“*网络办公安全知识”、“如何查找网络安全漏洞信息”等专题文章。同时，发布钓鱼邮件、修改密码、近期漏洞报送等专题通知，确保网络安全意识宣贯工作落实到位。 六、收获和后续工作 通过本次模拟的开展，信息化部门管理人员、业务部门系统使用人员和员工均认识到了钓鱼邮件攻击的危害，并具备了主动识别的谨慎意识。 七、钓鱼邮件预防 1.看发件人地址 2.看收件人地址 3.看发件日期 4 .看邮件标题 等等。。。。。