HVV在即，这是一场考验企业的网络安全防护能力、监测发现能力、应急处置能力及其综合能力的“拉锯战”。在攻防演练开始前期尽可能早地发现存在的短板和薄弱环节，这是悬在参演单位头上的“达摩克利斯之剑”。

安全隐患排查可谓是一个大工程：

1.如何行之有效地搜寻攻方可探查的敏感信息并及时清理？

2.如何进行资产测绘？

...

本期话题讨论将围绕但不限于以上维度进行讨论。

关于HVV，你准备好了吗？如果你还有更多想说的、想吐槽的、想分享的，欢迎在评论区畅所欲言。

我们将为评论区点赞数前三名的小伙伴赠送FreeBuf定制周边礼品~此外，欢迎大家下拉至文末申请加入作者群和甲方群，参与群内讨论噢~

活动时间：即日起至4月9日 18：00

精彩观点汇总

如何行之有效地搜寻攻方可探查的敏感信息并及时清理？

1. 内外两扇门。外部用ARL灯塔监测互联网资产指纹，除443和80端口一律关闭。内部杀毒和补丁全修复，对探明的资产进行加固，未知网络一律封禁。

2. 多找几家安全厂商做资产和漏洞，互为补充，毕竟每家的探测能力和重点都有差异。

3. 以攻为守，故意散播蜜罐信息，反制攻击方。攻击才是最好的防守。

4. 收缩防守面，梳理资产（最最最重要），关掉那些乱七八糟的测试系统，封网一段时间（能禁止发版最好，避免新的漏洞出现）。内部用户端每天邮件、IM、易拉宝各种绝招轰炸。

5. 原始的资产表收集+扫描监控补充。

6. 直接按照红方的攻击手法，搜集信息方法，做一个checklist，然后防守方自己按照checklist检查一遍。如果有条件的，再直接找内部的攻击能力，对内部进行一些攻击尝试，以及来一次多方面的内部钓鱼然后公布结果，这个钓鱼比平时的员工安全意识培训管用。

7. 三个字：堆设备。只要设备堆得多，别人就打不进来。

8. 可以多看看外部那些扫描器爬虫在爬途中安全设备上的记录，可以看见很多连开发都没发现的东西。

9. 从人的角度看，有几类人容易成为钓鱼的重点也是易感人群：

各级领导，特别是大领导：易用特权不受监管。

行政财务人员：意识不够，好奇心重。

网络管理人员，NOC和soc的人：易有艺高人胆大心理，违规时侥幸心理重。

这三类人要重点加强检查排查督查。

如何进行资产测绘？

1. 资产测绘感觉是平时就该做的，不应该再要HVV了才开始准备，在HVV前顶多是检查和维护一下，看看资产测绘方面的系统能否正常工作。

2. 我们梳理资产的时候，其中一项工作是扒了半年的网络访问日志，资产梳理出多少不说，无效系统访问发现无数，居然还有好多系统在访问机房搬迁前的无效老机房ftp。

3. 我们是简单做了一个分类，把资产定义为三个场景：

第一个场景是办公场景资产，主要是PC机，打印机，办公网络设备，主要靠dis arp命令+上网行为管理+终端管理做的资产合集，拆了域控。方便，但不安全，集权业务还额外扣分。

第二个是互联网业务场景，包含自建数据中心+云端服务器。这个我们有完善登记，责任到人，还请了厂商做Git泄露检测等互联网情报工作。

第三个场景就麻烦了，分子单位场景。分子单位我们不关注他们的办公网，只关注互联网发布业务，开了红头文件，每家按表格上报互联网可访问资产，有条件的统一迁移到自建数据中心，不能迁移的，做好职守工作，我们登记了，就会打他们。

我们目前这么做，还是有疏漏，把资产保送，通报整改纳入了信息化建设考核，希望大家都重视，但是重视有没有落实，我们也很难把握。毕竟没有非常实际的奖惩措施。

4. 资产盘查是点，网络系统架构是面。只有对网络和系统架构弄清楚了，点面联系起来，资产盘缠才有意义。响应的策略部署、监控，部署起来思路才能清晰。

5.尽量发现资产，能够发现一大堆内网漏洞。然后思考怎么能推动规定时间内整改完成？如果整改完不成怎样降低风险？不断迭代...

其他观点

Q：有人计划把蜜罐做成容器服务吗？用容器调度做出自适应计划，根据攻击频率更改配置疯狂复制起多个蜜罐服务，消耗攻击者排查蜜罐的时间。

A1：现在就有全网蜜罐这种吧。不过现在攻击者主要是挖掘利用失陷服务器的痕迹，点到点攻击，根本不扫描。所以只能考虑在各种服务器上埋伏诱导，让攻击者访问蜜罐。

A2：不能，高仿真才能真消耗时间，每个都是定制，建议多定制，想办法倒流量。

A3：你必须从被攻击点，一点点溯源，把攻击者的路径复原，复原与攻击者真实路径越一致，分数越高，占6个得分点，反制占2个得分点。

FreeBuf官方群进群方式

甲方群进群方式：

扫码填写申请表单，通过审核后即可入群：

作者群进群方式：

扫码添加FB小编加入群聊

官方QQ用户交流群：538750749/1164452683

回顾往期精彩话题讨论可关注专辑：Let's Talk