精华内容
下载资源
问答
  • 一切从资产梳理开始

    千次阅读 2019-09-09 08:11:26
    友情提示:本文共1200+字,预计阅读3分钟。关键词:隐形资产、资产梳理、摸清家底、资产安全治理如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互...
        
    友情提示:本文共1200+字,预计阅读3分钟。
    关键词:隐形资产、资产梳理、摸清家底、资产安全治理

    如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互联网暴露面资产进行探测,主要围绕域名、IP进行信息收集。

    你了解过你所在的企业有多少资产暴露在外网吗?

    通过防火墙发布外网,这里的内外网映射关系+域名解析记录,构成了一条完整的网络链路,而这些链路决定了有多少资产暴露在互联网上。不少企业都存在资产不清晰的问题,各种历史遗留问题,如业务端口开通没有进行登记管理,或者项目交接、人员调动等客观因素,导致企业外网资产一直存在混乱状态,隐形资产成为了攻击者的切入点。

    站在攻击者的角度来做防护,我们需要做一个全面的信息资产梳理。

    梳理思路:内外网IP与端口映射 --> 确认服务器管理员  --> 业务系统及描述 --> 域名访问地址

    面对几百条映射规则,一条条重新梳理过去,真的是个极其考验耐性的任务。在这梳理的过程中,会发现一些显而易见却往往被忽视的安全风险问题。

    1. 外网开放了高危端口,如3306、1521等数据库敏感端口。

    2. 内部应用系统开放外网访问。

    3. 只需开放移动端,却把PC端和管理后台一起开放到了外网。

    4. 不再使用的旧系统或已完成测试的业务系统没有做下线操作。

    5. 服务器资源已回收,网络链路关系未清除,服务器IP重新分配给新的业务系统,导致新的业务系统被放到了外网。

    从这些安全风险来看,本质上,我们急需解决两个比较核心的问题:

    1. 开放了哪些业务端口,这些业务端口是否存在风险?

    2. 缺乏有效的回收机制,不良资产如何及时进行回收?

    我们采取了一些改进措施,来进一步加强和改进外网资产管理,从以下4个方面入手,进行外网资产安全治理。

    1. 资产梳理,全面梳理当前业务系统的使用状况,并以此作为模板,做到线上线下统一。

    2. 清理回收,在资产梳理的基础上,清理停止更新维护的旧系统或已完成测试的业务系统,并形成有效的有效的资产回收机制,从域名解析+内外映射+服务器资源,资源回收一条龙服务。

    3. 登记审核,新的业务系统,进行登记审核,评估业务开放的合理性。业务开通登记,确认业务使用用途,临时或永久,对所要开放的业务进行安全评估。

    4. 定期盘点,对资产清单定期清查,发现不符的,及时通知整改。

    640?wx_fmt=png

    外网资产梳理,其实就是搞清楚每一条域名解析所指向的业务及访问地址,弄明白内外网IP与端口映射。

    资产业务流:子域名--> 外网IP+端口-->内网IP+端口-->业务描述 --> 负责人

    资产回收流:负责人确认停止维护--> 子域名取消 --> 内外网映射disable --> 服务器资源回收。

    作为一个安全/运维工程师,你所管理的资源就是企业的信息资产。比如域名管理,如果你只是关注域名什么时候到期,那么你做的就太过于粗糙了。这里,还有一个很重要的工作就是域名解析,把每一次的域名解析当成资产租借关系的话,你就会在意你的每一笔资产支出是借给了谁,它的用途的是什么,长期租用还是短期借用,什么时候可以归还,以及如何减少坏账损失。

    最简单的是道理,最难的是实践。

    资产梳理,从混乱到有序,而进一步如何做好企业资产管理,这是一个值得去深究的问题。

    640?wx_fmt=jpeg

    展开全文
  • 管理方法及案例相结合,供您在做数据资产梳理的时候参考。可用性强。
  • 边界打点资产梳理工具 Layui Python-Flask Redis MongoDB 演示地址: : //119.45.153.4 : 密码: admin/admin 演示站只作为演示,功能不可用!!! Web资产管理虽然可跑任务,但是所有人都有看到你跑的任务 不要改...
  • 护网蓝队之资产梳理

    2021-03-15 10:07:09
    首先无论是外派到甲方的还是甲方自己的人员都应该先熟悉拓扑,熟悉一下啊业务之类的信息,下面我具体的说几点关于资产梳理的知识,可能存在不足,还望大佬指正~ 1、任何工作都是要有业务的,我们首要先梳理我们的...

    HW蓝队之资产梳理

    也是好久没更新了,今天抽时间简单介绍一下护网前期的准备工作有哪些。首先无论是外派到甲方的还是甲方自己的人员都应该先熟悉拓扑,熟悉一下啊业务之类的信息,下面我具体的说几点关于资产梳理的知识,可能存在不足,还望大佬指正~
    1、首先都是要有业务资源梳理,我们首要先梳理我们的业务资源,比如业务资源系统的名称,业务资源类型是web、app?,其次我们要知道其业务所部署服务器的类型版本,域名/IP、服务器端口、中间件、数据库、开发的框架、部署的位置,相关负责人以及联系方式。如下图
    在这里插入图片描述2、除了我们的业务资源,也同样需要梳理我们的设备资产梳理,例如我们的安全设备,系统的名称,设备的型号,系统的规则库、病毒库的版本号是否最新、安全厂商、联系人、IP地址、授权日期以及相关负责人等信息的统计记录。如下图
    在这里插入图片描述3、其中也存在第三方的服务信息梳理,具体我就不废话了,记录如下几项
    在这里插入图片描述
    4、除了上述所说的信息梳理记录,我们也要做一些风险梳理如下
    4.1账号权限的梳理:其中包括了禁止共享账号、权限合理划分、删除无关账号、以及弱口令、口令强度的梳理排查,确保使用者符合最小授权原则。
    4.2互联网风险梳理:冗余资产、余资产指企业未能正式投入使用,
    但仍然占用系统资源运行的系统。通常包括旧版本的系统、旧数据库、测试环境等,由于冗余系统缺少人员的管理和维护,导致存在许多潜在安全风险,包括但不限于版本漏洞、弱口令、功能逻辑漏洞等。扫描并修复所有互联网业务系统及服务器的高、中危风险。对开发端口进行梳理,非必要的服务端口进行关闭。
    4.3暴露面收敛梳理
    (1)关闭非核心关键业务系统
    (2)关闭非必要端口,仅保留核心关键业务
    (3)关闭在互联网暴露的管理后台
    (4)关闭不必要的wifi热点
    (5)关闭非必须的VPN
    (6)控制人员进出登记
    时间过去也挺久的了,下次再写一些应急响应的办法~拜

    展开全文
  • 资产梳理 复习复习着突然发现 少了两篇文章? 哈哈 着实迷惑了 最重要的nmap竟然都没了 补上! 有了庞大的域名,接下来就是帮助 SRC 梳理资产了。域名可以先判断存活,活着的继续进行确定 IP 环节。根据 IP的分布,...

    资产梳理

    复习复习着突然发现 少了两篇文章? 哈哈
    着实迷惑了 最重要的nmap竟然都没了 补上!

    有了庞大的域名,接下来就是帮助 SRC 梳理资产了。域名可以先判断存活,活着的继续进行确定 IP 环节。根据 IP的分布,CMS,指纹,确定企业的公网网段,进行整理。对前期收集到的信息整理是一项不小的工程,精准度比较难以拿捏。

    不过通过不断实战,肯定可以琢磨出一些东西,所以有人称白帽子可能会比企业的运维更了解资产信息。
    资产梳理过程中可能需要对相关资产漏洞进行查询、利用、发布等,可能会用到已下相关链接地址:

    SRC 众测平台
    国际漏洞提交平台 https://www.hackerone.com/
    BugX 区块链漏洞平台 http://www.bugx.org/
    Gsrc 瓜子 src https://security.guazi.com/
    区块链安全响应中心 https://dvpnet.io/
    CNVD 国家信息安全漏洞平台 http://www.cnvd.org.cn/
    漏洞银行:https://www.bugbank.cn/
    360 补天:https://www.butian.net/
    教育行业漏洞报告平台(Beta)https://src.edu-info.edu.cn/login/

    国内平台
    知道创宇 Seebug 漏洞平台 https://www.seebug.org/
    工控系统行业漏洞平台 http://ivd.winicssec.com/
    打造中文最大 exploit 库 http://www.expku.com/
    为数不多的漏洞管理插件收集平台 http://www.bugscan.net/source/template/vulns/
    一家管理漏洞收集的平台 http://www.0daybank.org/

    国外平台
    国际漏洞提交平台 https://www.hackerone.com/
    xss poc http://xssor.io/
    oday 漏洞库 https://www.0day.today/
    路由器漏洞库 http://routerpwn.com/
    cve 漏洞平台 http://cve.mitre.org/

    威胁情报
    安全数据交流平台 https://www.secsilo.com/
    华为安全情报 https://isecurity.huawei.com/sec/web/intelligencePortal.do
    威胁情报共享平台 https://www.threatcrowd.org/
    被黑站点统计 http://www.hacked.com.cn/

    社工库 这个说实在的没啥用 好的社工库都搭建在自己服务器了 没有很好的资源
    写一点相关的吧
    微信伪造 http://www.jietuyun.com/
    任意邮箱发送 http://tool.chacuo.net/mailanonymous 和 https://emkei.cz/
    临时邮箱(无需注册) http://www.yopmail.com/
    邮箱池群 http://veryvp.com/
    社工库 http://www.uneihan.com/
    钓鱼测试

    展开全文
  • 记一次项目过程(1)--资产梳理

    千次阅读 2019-01-08 12:25:04
    首先项目的大致流程为资产梳理–漏扫–渗透测试–应急服务以及安全培训。 项目进行中,记录第一阶段的资产梳理。。。 获取客户资产ip范围 拿到客户的一张部分资产表,大致涉及到六个c段的ip。。。再拿到一台接入内网...

    @[TOC]项目记录

    记一次项目过程(1)

    首先项目的大致流程为资产梳理–漏扫–渗透测试–应急服务以及安全培训。
    项目进行中,记录第一阶段的资产梳理。。。

    获取客户资产ip范围

    拿到客户的一张部分资产表,大致涉及到六个c段的ip。。。再拿到一台接入内网的主机。好了,下面开始找出6个c段的所有存活ip。。

    nmap

    第一个考虑了***nmap***,听同事建议可以自己写一个脚本,或是考虑fuxi。然而在kali 安装fuxi费了好大的劲。。中间各种报错,最后放弃了。还是考虑最初的nmap,时间久怕占用客户服务器资源,我们选择下班后开始跑nmap。
    至于nmap参数的选择,我用了
    nmap -Pn -O -oX +输出txt地址 +需要扫描的网段

    -Pn --不对目标主机进行ping操作直接扫描
    -O – 启用操作系统探测
    -oX – 不用说 ,输出扫描结果为***xml格式*** +输出地址 由于在windows下安装的nmap,所以我放在了C://xx.txt目录
    至于这里为什么我选择输出xml格式,因为后面会用到啦~

    没有进行全端口扫描,主要是因为资产的ip范围较大,扫描时间太久,所以选用了默认的1000个常用端口扫描。如果ip地址范围较小的时候,还是可以考虑全端口扫描的。

    命令是下班之前敲上去的,一般客户都不会允许白天办公时间扫描吧。。。
    等第二天早上的结果。。。

    导出

    重头戏来了。

    扫描结果出来了 ,导出的是xml格式,那根本没法看啊。这样的报告当然不可能丢给客户啦。
    肯定是要word或者最好excel表格的形式呈现给客户的。那么怎么办呐,nmap输出格式并没有excel格式。。

    一开始尝试写一个python脚本,提取xml格式中关键标签中的内容,这个方法其实是可行的,但是由于这个xml文件中需要提取的二级三级标签太多太复杂。。导致没能成功。。结果也比较乱。。我想对于xml格式中标签整齐级数少的应该可以适用。
    于是又在git上搜寻,找到了一个工具nmap-converter ,简直是神器啊。。
    先贴上地址:
    https://github.com/mrschyte/nmap-converter

    首先安装,需要python环境,我装在windows环境下
    此外:
    sudo pip install -r requirements.txt
    安装好依赖包

    usage
    nmap-converter.py -o xx.xls xx.xml
    就可以把xx.xml文件转换成xls格式啦~
    输出结果默认存放在nmap-converter 的文件夹下 ,也可以自定义存放路径

    打开xls文件观摩一下,真的很好用,整理一下就可以直接给客户看的那种。。
    生成的结果里有三张表

    输出表

    我们来重点看一下hosts表和results表

    hosts表自然是梳理的主机操作系统信息,看一下效果图。

    在这里插入图片描述

    再来看一下results输出结果。
    在这里插入图片描述

    省了很多活儿。。。
    对输出结果不放心的还可以手工随机抽取几个ip进行校验
    最后再自己整合美化一下就可以给客户啦~

    展开全文
  • 前言: 实战攻击行动中信息收集往往显得尤为重要,攻击者们通常需要耗费大量的时间去收集攻击目标的组织架构、IT资产、敏感信息泄露、供应商信息、对外...1.在Goby中安装“火器-互联网资产梳理服务”插件 2. 登录".
  • 信息安全资产梳理新思路

    千次阅读 2020-05-25 20:45:56
    信息安全的建设实质是风险管理,风险管理的三要素分别是资产、威胁和脆弱性,这三项的基础是资产管理,如何做好资产管理是IT管理人员和运维人员面临的一大难题,有很多的产品可以做资产管理,但是他们的功能是比较...
  • 近年来,数据泄漏事件不断增多 仅2019年1月-9月 全球披露的数据泄露事件就有5183起 泄露了惊人的79.95亿条数据 全球70多亿人差不多平均每人一...还是因为公司的数据资产管理混乱无章 要建立合适的数据资...
  • 不少企业都存在资产不清晰的问题,各种历史遗留问题,如业务端口开通没有进行登记管理,或者项目交接、人员调动等客观因素,导致企业外网资产一直存在混乱状态,隐形资产成为了攻击者的切入点。 站在攻击者的角度来...
  • 原标题:固定资产管理相关知识问答梳理(无形资产篇)1、无形资产属于固定资产吗?答:无形资产不属于固定资产。无形资产是没有实物形态的可辨认非货币性资产,它不属于固定资产。无形资产:是指企业拥有或者控制的...
  • CMDB资产采集内容梳理

    2019-09-30 02:52:37
    API:给别人提供数据,给自己提交数据 saltstack用的是zero软件做的队列 转载于:https://www.cnblogs.com/jintian/p/11267285.html
  • 风电产业链梳理 核心赛道与资产是哪些?.pdf
  • 光伏产业链全梳理,核心资产在哪个细分赛道?.pdf
  • 文化传媒产业链梳理:核心赛道与资产是哪些?.PDF
  • 航空运输行业深度研究:精细盘点,详尽梳理海航旗下航空行业资产.pdf
  • 文化传媒产业链梳理:核心赛道与资产是哪些?精品报告2020.pdf
  • 光伏产业链全梳理,核心赛道与核心资产如何做到高回报?.pdf
  • 传媒行业:嘀嗒出行全梳理:轻资产共享出行平台,顺风车业务快速增长.pdf
  • 资产组合选择Introduction8.1 解的存在性不存在套利机会时,优化问题有解8.2 解的特征 Introduction 早在第三章AD经济中,我们就通过市场结构复制消费和禀赋,从而求出了AD市场中的组合选择,这一章,在期望效用函数...
  • 20210322-中信建投-非银金融行业Coinbase的商业模式及招股书关键信息梳理:虚拟资产交易所的代表.pdf
  • 20210228-天风证券-传媒行业深度研究:嘀嗒出行全梳理,轻资产共享出行平台,顺风车业务快速增长.pdf
  • 20201222-中信证券-资产管理业专题研究系列之十六:养老宜徐徐,养老型金融产品的梳理与展望.pdf
  • 资本资产定价模型Introduction13.1 证券市场均衡13.1.1 市场组合13.1.2 证券市场总需求13.1.3 市场均衡:市场出清13.2 资本资产定价模型13.2.1 CAPM1、推导2、意义3、SML Introduction 上一章,我们证明了,参与者会...
  • 通过对各类资产梳理统计、完善台帐,提供动态的信息查询、数据采集、共享平台、报表统计等功能,对资产全生命周期的全过程跟踪监管,建立全覆盖、全口径的集团资产信息动态监管的大数据库。 通过数据挖掘与分析、...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 9,091
精华内容 3,636
关键字:

资产梳理