漏洞算不算资产;如何管理资产并收敛攻击面 | FB甲方群话题讨论
2023-6-2 18:23:53 Author: FreeBuf(查看原文) 阅读量:21 收藏

各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 215 期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息

本期话题抢先看

1.企业在互联网资产管理和攻击面收敛方面有什么好的方式方法,包括使用哪些流程制度和技术措施?
2.漏洞算不算资产?
3.作为企业攻击面收敛的方式之一“SSLVPN”被企业大量使用,不过SSLVPN产品本身也会存在安全隐患,对此大家有什么好的解决或替代方案?

 话题 

企业在互联网资产管理和攻击面收敛方面有什么好的方式方法,包括使用哪些流程制度和技术措施?

A1:

定期排查外部资产开放情况并进行渗透测试、攻防演练等检查,关闭不必要对外开放的系统,使用SDP进行收敛暴露面。

A2:

定期对企业的资产进行扫描,识别开放情况。关于端口,可以用LB、防火墙来映射端口,而不是直接给主机配公网IP,避免开放一些不必要的端口。

A3:

能不对外就不对外,能用堡垒机就用堡垒机。

A4:

对企业网络进行合理的拓扑设计和优化,减少网络暴露面和攻击路径。实施严格的权限管理和访问控制机制,包括用户权限控制、访问策略和身份认证等,限制非授权访问。定期进行漏洞扫描和安全评估,及时修复漏洞,减少攻击面。建立有效的安全策略和防护措施,包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等,降低攻击风险。

A5:

直接接管边界,所有公网进出策略由安全负责管理,退一步,也要走审核流程与定期排查。攻击面靠漏扫服务与渗透测试。

A6:

开放公网出口要有流程、有记录,公网系统上线起码要做漏扫,对公网出口做定期的资产扫描。

A7:

假如互联网出口固定,可以进行出口管控;公司规模很大的话就制定制度让各级单位定期报送资产信息,同时开展外网资产主动探测,减小盲区。

A8:

最科学的还是从根本上完善整系统开发生命周期管理流程 开发过程中调了哪些服务端口,投入运行后进行了哪些变更,然后动态更新资产信息只是现实很骨感,很多都是历史遗留问题,不知道都换了几波人了,老系统当年的管理也没那么规范, 所以感觉互联网资产总是难梳理全。

A9:

互联网资产主动发现所以也很重要,就是发现的数据太多脏数据了,经常爬下来一堆脏数据。

A10:

这个表基本满足需求。

至于说要用什么系统、什么工具(比如资产扫描、资产探测、可用性监测、异常扫描、CMDB)都只是方式了。

暴露面分析,核心还是遵循必要性和最小权限原则 ,另外如果有能力,对DNS/边界、入口、互联网IP地址等方面进行严格控制(如审批、监控、流量分析等) ,同时 可以基于业务进行转移(漂移) ,如端口转换换、协议转换, https加密,身份认证等) 具体技术就包括了VPN/SDWAN/零信任/sase/代理/资源门户/网关/dns转发等多种方式。

最近正好在做这方面的分析。

A11:

个人觉得企业资产风险面收敛应该按照资产流量访问的维度划分,通过不同的方式来进行管控约束。

一、对互联网公开资产

(1)增量资产

对于对外开放的增量资产,理论上建议通过运维侧收口。资产、IP、域名、资产归属的申请分配需通过流程审批记录在案,通过CMDB等系统对于资产信息进行记录回溯。

(2)存量资产

对于对外开放的存量资产,可通过采集原有运维团队的台账记录,访谈、收集已知资产业务归属部门台账,梳理已有网络策略,对于有主资产进行标记记录到台账,对于无主资产,在进行评估和向上申请审批后,限时关闭认领。然后以资产、IP、域名、资产归属等颗粒度录入到CMDB,直至相关增量,存量资产全部覆盖。

(3)管理制度

制度上定义资产全生命周期管理的必要性,资产的新增到销毁需通过OA流程进行审批闭环,并安排专岗专人对资产台账进行及时更新

(4)漏洞扫描&&渗透测试

周期性安排安全人员对互联网公开资产进行漏洞扫描、渗透测试,并以红线要求业务归属部门限时完成漏洞的修复,保证资产风险可控。

二、企业内部可访问资产

(1)增量资产

对于企业内部可访问的增量资产,理论上建议通过运维侧收口。资产、IP、域名、资产归属的申请分配需通过流程审批记录在案,通过CMDB等系统对于资产信息进行记录回溯。

(2)存量资产

对于企业内部可访问的存量资产,可通过采集原有运维团队的台账记录,访谈、收集已知资产业务归属部门台账,梳理已有网络策略,对于有主资产进行标记记录到台账,对于无主资产,在进行评估和向上申请审批后,限时关闭认领。然后以资产、IP、域名、资产归属等颗粒度录入到CMDB,直至相关增量,存量资产全部覆盖。

(3)管理制度

制度上定义资产全生命周期管理的必要性,资产的新增到销毁需通过OA流程进行审批闭环,并安排专岗专人对资产台账进行及时更新

(4)网络策略

理论上,建议企业内部资产实施白名单策略,非必须不对外。如果因业务联调等特别需求,需经过安全部门安全评估和渗透测试,需求部部门发起流程申请,由运维部门记录并开通相关网络策略,确保对外联调等特殊需求记录在案,风险可控。

(5)漏洞扫描&&渗透测试

周期性安排安全人员对互联网公开资产进行漏洞扫描、渗透测试,并以红线要求业务归属部门限时完成漏洞的修复,保证资产风险可控。

三、暗资产

(1)企业主动开展暗资产收集:通过扫描、人工梳理等一系列方式主动对企业暗资产进行梳理归档;
(2)企业被动接受暗资产被通报:因漏洞风险,未备案、或者其他原因被上级单位或监管单位通报后,企业回收记录资产信息。

A12:

资产测绘系统现在很成熟了,也能搜集暗资产。

A13:

资产测绘其实就是爬虫、扫描这种,和我上面提到的扫描一个意思。

A14:

之前很多不知道的资产是靠网安邮件提醒才知道。

A15:

资产有很多维度,传统的CMDB不够用了,扫描只能扫出基于IP或协议的资产,扫不出流量类型的、字段类型的、流媒体、音视频里面的信息。

A16:

给CMDB叠加属性标签就好了,问题不大。

A17:

问题大了,个人信息算不算资产?员工ID算不算资产?这些资产无法用CMDB来承载,太多的虚拟资产了,流量、压力、并发能力、处理能力,这些都是能力资产,CMDB累死都玩不好。

A18:

你不能这样想的,无论任何一套系统,他是有核心的功能和需求的,必然会围绕某些核心指标开展的。员工ID、个人信息可以往CMDB里承载,但是他的不是核心,他是资产组成的一部分,你可以理解为资产画像。

A19:

跨系统流量和能力咋办?属于隐形资产。

A20:

我觉得可以两方面思路解决:

第一:主从的方式,按照需求以一方的资产维度为核心进行资产标签、内容的整合;

第二:三方介入,重新开发个三方系统,把您说的跨系统(多方系统)的资产属性和需求放在第三方系统,然后整合。

A21:

针对第一点:声誉、形象、品牌这类跟谁挂钩?薪资标签?还是财务标签?还是劳工标签?没法弄;

第二点:第三方干不了。

A22:

你这些需求是独立的需求,完全是可以通过单独的系统实现,没必要非得让CMDB实现。第三方可以干,视需求而定,只是说需要看需不需要,值不值得。

A23:

这个引发了我的下一个问题:漏洞算不算资产?

Q:漏洞算不算资产?

A24:

我觉得漏洞算资产属性,不能单独说漏洞是资产。

A25:

漏洞算风险,漏洞利用方法是资产。

A26:

对,漏洞是依附于资产的,没有资产没有漏洞。

A27:

威胁算资产吗?

A28:

漏洞算资产属性,那威胁算资产标签。

A29:

漏洞不算风险,没被利用就不算,应该是威胁利用漏洞造成风险。

A30:

虽然漏洞经常被等同于脆弱性,我总觉得关系还有待捋,但是漏洞一定是资产的脆弱性,这个应该是成立的。

A31:

最近几年的政策要求都在提到一个术语,漏洞管理与漏洞分析,由于漏洞是真实存在的,也不可能完全消除,而且是个动态的过程,所以我就在想:漏洞算不算一种负资产?

A32:

我认为,漏洞不算资产,从两个方面阐述。
第一个是这俩概念有先后的因果关系,先有了资产,资产因为没打补丁或者存在脆弱性,才被发现漏洞。
另外一个是,诸如楼上老哥说的,漏洞只是做风险评估时候时候的一个概念。安全的核心价值是保护资产安全,另外一个是保证安全投入 < 资产的年度损失。

A33:

漏洞是依托于引入的组件而存在的,我认为漏洞只能算资产的一种属性或者风险属性,而不是资产。

Q:作为企业攻击面收敛的方式之一“SSLVPN”被企业大量使用,不过SSLVPN产品本身也会存在安全隐患,对此大家有什么好的解决或替代方案?

A34:

用零信任。

A35:

感觉现在的零信任都不是很成熟,很多其实是反向代理服务器加上用户权限控制对外就成零信任了。

A36:

我听过一个小众的方案,由于UDP是无连接的,向VPN设备特定UDP端口发送特定报文以后,该源IP被临时加白,然后就可以访问VPN的登录TCP端口。也就是说,这个机制没有泄露的话,外部人员无法扫描到VPN端口,UDP端口也是无法扫描到的。

A37:

有没有可能VPN程序本身就可以PWN,有些WEB端的逻辑漏洞一大堆还在。

A38:

另外就是,如果VPN端口本身用浏览器打不开,或者打开是个白的,必须完全用客户端访问。再就是能自定义这个端口的Banner,这样别人知道这个具体是何产品的难度加大了,直接把攻击者卡在信息收集这一步。

A39:

几乎每次HVV都有甲方使用安全厂商VPN被打趴下的 一打一大片,最好的办法是用SDWAN技术,当然很少企业会用成本比较高,所以暂时是你想求成本和安全寻找个平衡还是很难的,就算你用零信任也一样, 漏洞更多。这种0Day大招除了在北向网络上隐形,你没有好的办法,成本高。

A40:

SSLVPN和SDWAN啥关系?IPSEC和SDWAN才有关系。

A41:

把VPN隐藏起来,通过POP代理走流量,办公区和手机用CPE连接 ,在VPN 前有一个VCPE接力,这样不是你公司的员工和授信的终端无法直接访问隧道。这里面其实关键的问题在于VPN 暴露 ,谁能连接VPN,如果是家里移动办公连接怎么办?

A42:

那就有点类似运营商的VPDN了。

A43:

零信任就可以解决。

A44:

零信任解决不了,本质上是暴露面问题,零信任不用SDWAN还是暴露很多,端口API、应答IAM 等,漏洞更多 。技术上只有你把全部访问隐藏起来,并且给终端和移动办公授信才可以解决。

A45:

零信任的单包认证协议目前好像还没有能攻破的,移动端的话可以使用运营商的5G双域专网,很多附件都是部署在内网。

A46:

运营商可以基于手机流量做VPDN,这样的话有SIM卡鉴权,相对更安全。

本期观点总结

本期话题讨论聊到了企业在互联网资产管理和攻击面收敛,大家讨论认为可以通过多种方式方法来进行管控约束。包括定期排查外部资产开放情况并进行渗透测试、攻防演练等检查,关闭不必要对外开放的系统,使用SDP进行收敛暴露面;对企业网络进行合理的拓扑设计和优化,减少网络暴露面和攻击路径,实施严格的权限管理和访问控制机制,定期进行漏洞扫描和安全评估,建立有效的安全策略和防护措施等。此外,还需要建立良好的管理制度,对资产开展全生命周期管理。

至于讨论到漏洞算不算资产,大部分人认为漏洞不算作资产,但是可以被视为资产属性或风险标签。漏洞是依托于引入的组件而存在的,没有资产就没有漏洞。因此,漏洞的管理和分析也是一个必要的过程,以保证企业资产的安全性。需要注意的是,安全投入应该小于资产的年度损失,从而实现对企业的安全保护。

近期群内答疑解惑

Q:各位大佬有碰到过开发需要本地连数据库开发调试连接的情况么?

A1:

开发连开发数据库,测试环境连测试数据库。

A2:

不行,生产环境不允许调试,除非测试环境没法重现问题。要是连生产调试,临时加一段代码把库拖走了怎么办?

A3:

除了互联网,金融比较重视开发的,其他不都是这么连的吗?

A4:

我们在做网络隔离,但基地好像做的太彻底了,把测试一起隔离了。

A5:

网络隔离很正常的,需求都开白名单。

A6:

开发连生产你们也放么?那比如他们说上线的系统需要去做排障,在测试无法复现怎么处理?

A7:

让运维导出日志。

A8:

能提这种要求的,说明日志应该也分析不出问题原因了。

A9:

其实是没有日志。

A10:

那放开吧,安全无所谓了。

A11:

算排查的,不要认为违反既定规则就是坏事,规则是死的人是活的,有利于组织解决问题,规则是可以适当的忽略。

Q:公司使用SaaS服务上线了人事平台,云服务提供商已过了等保三级,还需要额外对人事平台做等保定级备案吗?

A1:

基础架构和网络架构是三级,但是你的系统不是,还要另外做。

A2:

SaaS如果是人家的平台,等保你不需要,你们选择的时候做好资质评估、包括持证,组织架构、数据保护方案等,如果能提供你们SoC2的外部审计报告最好;如果是自己的SaaS平台,那就需要,但不需要三级,因为对内系统人员数量到不了三级这级别,除非对外部服务。

A3:

A4:

等保和定级备案是两个东西,一个公安,一个工信部。

A5:

备案是为了能使用WEB服务,包括域名解析等。人家的服务平台不需要,自己建平台必须。

A6:

看这个应该不是自己建的,云服务商、定级和备案还是有区别的,平台只是基础和网络架构,你系统如果还需要做等保备案还是需要额外做的。

Q:如果是私有部署的SaaS怎么提供等保测试报告?

A1:

私有化部署的系统,一样需要提供相关报告,和SaaS的没区别。

Q:

采购环节怎么提供等保报告呀,向我们这边私有部署客户就只买一个应用,其他的网络、数据库都是客户自己,怎么提供等保报告?

A2:

SaaS的最大安全风险,在于数据安全的问题,因为你的数据是托管在SaaS服务商的应用上的,这块着重关注一下你们公司对于数据安全的要求。

A3:

我说的是客户本地自己部署的那种,不是公有云服务的那种场景。

A4:

我知道,你一个系统对多个用户的,你提前做好相关的报告就行。

A5:

嗯,应用的渗透测试我觉得还勉强,但是客户现在要专业机构的白盒审计,这个怎么看?

A6:

看你们的情况,代码能否提供三方人员做代码审计(到你们公司在指定的环境下);签署保密协议,代码的审计工作全程在你们公司的一个封闭环境(断网,单机)下,所有的工具均有你们自己检测后上传,或者让他们人工就行。

甲方群最新动态

上期话题回顾:

AI换脸诈骗猛增;黑白名单优缺点及实践

活动回顾:

数据安全管理实践分享丨FreeBuf甲方私享会北京站回顾

浅谈安全之应急响应 | FreeBuf甲方社群直播回顾

活动预告:

全议程公布 | 6月6日·深圳 FreeBuf企业安全俱乐部

近期热点资讯

技嘉曝“类后门”安全漏洞,影响约 700 万台设备

新型浏览器文件压缩包可滥用ZIP 域名传播恶意软件

MCNA 泄露了 890 万用户的敏感信息

新冠、游戏、自拍...盘点那些“离谱”的军事机密泄露事件 TOP 10

FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】

注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员

“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1100+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。

FreeBuf甲方群成员(因篇幅限制仅展现部分行业成员):
金融行业:贝宝金融 安全负责人、成都农商银行 信息安全负责人、晋商银行 安全负责人、北京银行 安全负责人、君龙人寿 技术负责人、合合信息 合规负责人、合生 信息安全负责人、航天产业投资基金IT负责人、工银金融 信息安全负责人、前海联合基金 信息安全负责人、天弘基金 安全负责人、阳光保险 信息安全部负责人、南京证券 安全负责人、宝马金融 信息安全经理  
运营商中国联通 网络安全主管、中国电信 信息安全技术主管、上海电信 网络安全主管、天津电信SOC主管、太平洋电信 研发总监
互联网:云畅游戏 信息安全总监、飞点网络 技术总监、聚水潭科技 信息安全总监、诺亚控股 业务安全中心总监、哥伦比亚中国 信息安全总监非夕科技信息安全总监、赫基国际 信息安全部负责人、熵通科技 信息安全负责人、建发集团 信息安全经理 
其他:大学长教育 数据安全与合规总监、温州城市大学 信息技术服务中心科长、作业帮 安全负责人、同程艺龙 安全总监、新奥集团 安全总监、中译语通 安全总监、集贤科技 安全总监、德邦快递 安全总监、盒子科技 安全总监、猎豹移动 安全总监、蚂蚁集团 实验室负责人、结行科技 数据安全负责人、苏宁 网络安全经理、新浪 网络安全经理、吉利汽车 信息安全经理 


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651227303&idx=2&sn=62ec23ea49a105df280e7ca1721879c9&chksm=bd1d162c8a6a9f3ad7e1388eae2a057329964b2b5abdf08bdb1f40c173274a3d6a94174cac34#rd
如有侵权请联系:admin#unsafe.sh