pastebin

攻防演练前的安全隐患排查⼯作指南

前⾔

近些年，在互联⽹⼤环境的影响下，⽆论国家还是⾏业层⾯，都开始逐步关注和重视安全问题。全国、地区、⾏业内的

⽹络安全攻防演练活动持续增多，对企业的⽹络安全防护能⼒、监测发现能⼒、应急处置能⼒的综合要求也越来越⾼，

如何能在攻防演练开始前期尽可能早的发现存在的短板和薄弱环节，是悬在参演单位头上的“达摩克利斯之剑”。

然⽽，如何⾏之有效的搜寻攻⽅可探查的敏感信息并及时清理？该如何进⾏资产测绘？这些都是值得探讨的话题。

本次，⽃象科技南区技术总监胡云海就“攻防演练前的安全隐患排查⼯作指南”为题，从信息搜集、策略制定、安全管控

等⽅向，和⼤家⼀起分享交流针对攻防演练过程中各⽅⾯的⼯作部署及思路想法。

清理敏感信息

企业作为防守⽅，为应对攻⽅的信息收集，⾸要解决的就是减少敏感信息的暴露，包括系统源代码、邮箱账号、⼝令

等。

从常规的进攻路径来看，会以先收集企业的IT资产信息(如：域名、IP、开放端⼝、证书信息、企业名称、ICP备案信

息、whois信息等)作为搜索的敏感特征，再配合关键词（如：源代码、邮箱、密码、⽂件名、通讯录、内部资料、安装

说明等）搜索暴露在互联⽹上的敏感信息。

ARL侦查企业资产界⾯

ARL侦查企业资产界⾯

常⽤的互联⽹敏感信息搜索渠道如下：

•搜索引擎类，如百度搜索、360搜索、搜狗、⾕歌、必应、搜搜、雅虎、有道、阿⾥云搜等学术⽹站类，如CNKI、

Google学术、百度学术⽹盘类，如百度云盘、新浪微盘、360云盘等代码托管平台类，如Github、Bitbucket、

Gitlib、Gitee等招投标⽹站类，⾃建招投标⽹站、第三⽅招投标⽹站等⽂库类，如百度⽂库、⾖丁⽹等社交平台类，

如微信群、QQ群、论坛、贴吧等其它，如Pastebin（⿊客共享信息平台）、暗⽹等

清理已暴漏敏感信息的四种途径

•直接清理：如对于⾃建的招投标⽹站上暴露的敏感信息可联系⽹站主管部门清理；企业及个⼈使⽤账号在论坛、⽹

盘、社交⽹站上发布的敏感信息可直接清理协助删除：如百度、知⽹等商业类⽹站，可联系⽹站管理机构请求协助

删除找原作者并删除：如Github、论坛等开放式⽹站可联系发布原作者进⾏删除妥善保管：内⽹存在的敏感信息，

如⽹络架构图、拓扑图、⽹络设备和安全设备的管理员账号、密码等敏感信息，被攻击队获取后的危害⾮常⼤，尤

应妥善保管。

资产梳理，收敛攻击⾯

在往年的攻防演练中，攻击队常使出「声东击西」、「浑⽔摸鱼」、「李代桃僵」等计谋让守⽅节节溃败，究其原因还

是守⽅对⾃⼰的资产⽆法进⾏全⾯清晰的掌控。在攻防演练开始前梳理企业资产并采取相关防御措施也就显得尤为关

键。

清理互联⽹资产

•统计排查：排查公有云平台，阿⾥云、腾讯云、百度云、天翼云等；排查合作⽅机房的互联⽹应⽤，如互联⽹⽹

站、专业应⽤、移动APP、微信公众号、微信⼩程序等技术评估并采取措施：采⽤技术⼿段对暴露在互联⽹上的设

备、应⽤、数据库等⽹络资产进⾏排查评估，关闭不必要的主机、应⽤和服务暴露⾯分析：对主域进⾏⼦域名发

现，如通过对主域名暴⼒破解、googlehack、及全球实时DNS数据检索等⼿段和⼯具来发现暴露在互联⽹中的⼦域

名，探查其Web指纹，发现存在风险的中间件或脚本框架。对互联⽹IP段及⼦域解析进⾏全端⼝扫描，发现对互联

⽹开放的危险端⼝，对该端⼝进⾏POC扫描

ARL筛选站点任务下发：POC扫描

ARL筛选站点任务下发：POC扫描

梳理⽹络边界

全⾯梳理清查各类⽹络边界，确保⽹络拓扑图与实际接线情况⼀致（包括但不限于⾃建系统内⽹络边界以及各安全分区

⽹络边界），以最⼩权限原则清理⽆效或者过于宽泛的策略，封堵⾼危端⼝。

缩减互联⽹出⼝与互联⽹应⽤数量

•全⾯清查和关停⾮必要互联⽹出⼝开展企业互联⽹应⽤系统的渗透测试，对存在的⾼危安全漏洞及不满⾜安全规定

的系统进⾏下线整改、关停处理临时关停⽼旧系统、⽆主系统、有⾼危漏洞的互联⽹应⽤

互联⽹出⼝防护策略有效性检查

•检测互联⽹的防⽕墙策略，重点排查风险端⼝对互联⽹的开放情况，如：确认防⽕墙的防扫描功能为开启状态检测

互联⽹出⼝WAF防护策略，确认WAF已开启⾼级拦截策略，如过滤单引号，对multipartform-data请求。⼈⼯绕过

WAF进⾏渗透测试，发现WAF的防护策略缺陷检测IPS防护策略，确认已开启有效的全规则过滤。⼈⼯绕过IPS进⾏

渗透测试，发现IPS的防护策略缺陷

清理内⽹资产

•核对各⽹络区域、各IP地址段的在线IT资产，明确各IT资产的⽤途、所属系统、类别、责任⼈等信息，编制资产台账

对已停⽌原⼚服务的在运⽼旧系统和设备进⾏识别和标记对⽆主IP、不明IP的IT资产进⾏筛查，经核实后进⾏下线处

理、对废弃、⽆主系统和设备进⾏下线处理

终端与哑终端全⾯管控

•排查更新终端防病毒软件、安全补丁排查升级终端操作系统加强终端安全配置加强打印机等泛终端的安全管控

Webshell专项检测

利⽤webshell检测⼯具对内外⽹及互联⽹所有⽹站进⾏webshell专项排查，检测历史遗留的webshell情况，⼀经发现，

及时查杀，必要情况下将其更替为⼲净的⽹站源码。

弱⼝令专项检测

利⽤弱⼝令检测⼯具及⾃检表检查各类终端、服务器、⽹络及安全设备、数据库、中间件的各类账号是否存在弱⼝令、

默认⼝令、通⽤⼝令等⼝令长期使⽤的情况，对发现的弱⼝令及帐号隐患及时处理。

纵深防御策略排查

•分区分域隔离：在⽹络分区基础上进⾏分域隔离，如分区分为DMZ区、IDC区；分域分为核⼼业务域、普通业务

域，并对⽹络边界、区域防护设备进⾏安全加固

PRS在不同分域进⾏镜像分析

PRS在不同分域进⾏镜像分析

•落实纵向防护策略：对纵向⽹络边界防护措施进⾏查漏补缺，如访问策略细化⾄IP和端⼝、⾼危端⼝：TCP：135、

139、445、3389。UDP：137、138、139、445、3389等封堵、禁⽌直接通过22、3306、1521等操作系统、数据

库、中间件的登录端⼝进⾏远程管理

•加强⽆线安全防护：强化⽆线⽹络的登陆认证，断开⽆线⽹络与公司内⽹的物理连接。针对内⽹办公终端，启⽤⾮

法外联管控策略

法外联管控策略

•加强开发测试区域防护：梳理开发测试区⽹络边界访问控制策略，隔离开发测试区与互联⽹的访问；对测试区进⾏

内⽹渗透测试，发现测试区是否存在可⼊侵系统的⾼危漏洞，清理开发测试系统的配置及测试数据

•加强攻击路径杀伤链防护：加强楼宇视频监控⽹络安全，定期开展楼宇视频监控摄像头巡察，防⽌以摄像头为跳板

⼊侵，采⽤访问控制和流量监测对楼宇视频终端的⽹络⾏为进⾏限制和监视，相关⽹络端⼝配置准⼊或进⾏MAC地

址绑定，连接屏幕的电脑专机专⽤、专⼈管理；加强专线到内⽹安全防护，在专线区域部署攻击诱捕设备，通过访

问控制措施限制访问端⼝，关闭⽆关端⼝，并配置旁路协议流量检测设备

靶⼼重点防护排查

靶⼼：⼀般指HVV期间需要重点防护的资产，如域控、特权设备、数据库等攻击队重点关注的⽬标和对象。

•加强供应链⽹络安全管理：筛查和关闭为供应商开启的VPN通道、远程接⼊通道、特权账号等；清理重要系统开发

运维⼈员个⼈终端上存储的敏感资料

•“社会⼯程学”防御：对全员开展⽹络安全意识教育，着重对易受“社⼯”突破的⼈员，如客服⼈员、外包⼈员等开展强

化安全意识培训

•加强靶⼼互联⽹应⽤安全管控：针对需要重点防护的资产和靶标，可通过对其访问关联关系，建⽴流量模型或基

线，以此对HVV期间的资产异常变动和访问进⾏检测

•加强邮件系统安全管控：对外⽹邮件系统安全防护措施进⾏查漏补缺，部署邮件安全⽹关、安全沙箱，更新邮箱过

滤规则，部署⽹关数据防泄露系统，启⽤外⽹邮件外发检测策略；禁⽤外⽹邮件系统的明⽂传输协议和端⼝，采⽤

https替换http；清理外⽹邮件系统⽆⽤帐号、空闲帐号；更改邮件系统账户的弱⼝令、默认⼝令；清理邮箱中保存的

敏感信息

•梳理主机防护策略：安装部署服务器防病毒软件、补丁管理系统（更新主机操作系统、中间件、数据库等的安全补

丁）、启⽤操作系统的主机防⽕墙、启⽤运维审计系统（堡垒机）的双因素认证、清理AD域的空闲账号与⽆主账号

•数据库精细管控策略梳理：采⽤主机防⽕墙、⽹络防⽕墙限制对数据库服务的访问策略，仅允许应⽤服务器、备份

服务器、监控服务器、运维审计设备以及其他接⼝服务对数据库服务的访问；关联数据库与应⽤系统⽤户账号，对

⽤户的数据访问实现字段级的授权鉴权全程审计

•提升新形势下⽹络攻击防护能⼒：根据⾃⾝情况，在基础安全防护和检测设备之外，还可以通过部署蜜罐、流量安

全分析设备、HIDS等新型的检测设备，打造从外到内，由点及⾯的⼀体化安全体系，对HW期间可能出现的各种未

知风险进⾏检测，并通过联动⽅式有效识别和阻断⾃动化攻击，实现新形势下的纵深防御体系

总结

安全的本质是⼈的对抗，以上所有对⾃⾝情况的摸底和排查⼯作最终都需要⼈员去落实，只有将⼯作做到攻防演练开始

前，尽可能全⾯的去考虑到各环节风险，⽅可在实战期间做到⼼中有数、从容不迫，顺利通过攻防演练的考验。