freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

互联网暴露面产品or服务调研
2023-05-04 16:13:28
所属地 北京

tags:互联网暴露面or攻击面、网络空间测绘、影子资产&&边界资产测绘、反测绘

常言道“千里之堤、溃于蚁穴”,消减互联网暴露面风险就好像是在堤坝上寻找蚁穴一样,尤其是对于大型企业而言,尝试持续发现并处置互联网暴露面风险无疑是一个复杂且艰辛的工作。

因为工作需求简单进行了一次互联网收口工作,一方面是建立统一上网中心,统一上网出口,另一方面需要统一业务数据中心,在此期间遇到很多问题,如多层级的单位架构使得理清互联网资产非常困难,爬虫发现正在使用我单位logo的影子资产无人认领等。

由于上述原因,简单的对多家互联网暴露面产品进行了试用,由于各家单位产品具有较大差异,因此不具体到厂商名称及功能覆盖点,仅对功能预期与实现做一下探讨,具体厂家产品能力对应信息存在个人主观判断,不做分享。

产品形态:预期为本地化平台,避免整个暴露面资产被厂商后台读取。

调研发现市场上主要以SaaS加人工服务为主,在和部分厂家沟通中,多家反馈仍存在误报or漏报问题,另外根据需求的深入,需要较高的授权及人工介入来提高信息精准度和服务质量。均能周期性提供服务报告,部分厂商产品支持本地化部署,但是功能会有阉割或需要调用远端API才能完整服务,同时,互联网暴露面的发现是依靠网络爬虫,因此本地化存在IP被封禁无法实现厂商的大规模爬取问题。因此,整个暴露面被服务厂商获取几乎所必然事件,需要相信合同及协议的有效性,后续调研的部分开源方案涉及较多组件,在最终探测结果的整合上需要消耗较多人工。

企业名称:预期为可根据企业名称关联本单位及下属单位的关联资产信息。

结果:各厂商均能部分实现此功能,部分服务产品类似搜索引擎提供搜索结果,但是普遍存在漏报,不能有效根据企业名称进行组织,在模糊搜索的情况下,存在误报大量同行业or名称相近企业的资产匹配。同时,无法有效关联下属成员单位企业。

TIPS:在实际工作中,是在企某查、天某查此类平台上获取部分关联股份单位信息,但是仍存在缺失问题,最后是在内部的企业平台获取了完整的关联企业清单。

企业logo:预期可通过本单位的logo、图标等企业视觉模型查找关联资产。

结果:仅少数产品可通过logo图片进行关联搜索,无法对冒用信息、钓鱼仿站等资产进行追踪查找,在实际工作中,由于经常收到信息通报,会存在实习生、离职人员、外包服务商使用本单位信息、钓鱼仿站等问题,与部分厂商沟通发现实现成本可能会高于收益,因此可能不会后续拓展,会倾向于返回值banner中的关键字关联查询,logo以外的其他视觉元素暂不支持。

域名、子域名:预期可通过域名进行拓线查找关联资产。

结果:各厂商均能通过根域名进行查询,但是在二级域名、子域名的查询上存在实现方式的差异,因此给出结果并不准确。部分厂商的实现为简单的域名爆破,在遇到云WAF、CDN的情况下会出现大量误报,部分厂商是通过DNS解析情报实现,在发现当前资产的同时还能发现部分历史解析资产,当然也存在失效解析的误报,在多家测试中,基于DNS解析情报实现的效果更好,三级、四级域名也能看到结果,部分厂商信息真实可靠,部分厂商误报、漏报。

TIPS:在反测绘中,将泛域名解析指向云WAF、CDN,可以有效增加测绘成本,同时由于厂商也具备识别WAF和CDN的能力,可以考虑结合蜜罐,进一步提供虚假信息,混淆外部测绘结果。

域名备案信息、whois信息:预期可通过企业备案信息、域名注册信息查找企业域名关联资产

结果:部分支持ICP备案信息查询,少量厂商可提供whois历史信息查找同注册信息下的域名,在实际工作中,使用工信部备案官方网站进行查询,可以获取企业名称下的全部备案域名信息,但是境外解析域名不需要备案,因此无法查询到全部信息,站长工具有比较好用的工信部接口,奇某信、微某的相关情报平台在用户权限到位的情况下,可以查到较为详细的历史whois信息,但只能截止到某一时间点,域名注册商应当有更相信信息,但不支持个人查询。

TIPS:在反测绘中,建议不使用域名联系备案服务上进行备案注销,非境内使用的域名可多次跨域名商转移,进一步混淆whois信息,当然,也可以注册低价相近域名做备案后泛解析到蜜罐。

域名证书:预期可监控互联网证书到期及查找泄露证书信息资产

结果:部分厂商支持证书到期监测,但是结果并不准确,且无法追踪证书泄露,证书泄露问题合并到代码泄露中进行检测。在实际工作中,发现非常多业务使用SSL服务但无证书、使用免费证书、使用自签证书、使用多个证书厂商等问题,存在通配符证书的问题,给证书监测增加很多难度。如无涉及各类桌软orAPP的证书互信,可以忽略此问题,交由运维团队统一做证书的配置追踪。

IP信息:预期可通过域名解析、历史解析等获取互联网IP资产信息

结果:部分厂商能够看到业务IP后进行同C段探测拓线验证,CDN、云WAF的干扰问题依然存在,对于集团级用户来说,IP资产信息确认工作非常繁重,因为各家产品探测结果主要以IP端口为主要输出结果,未能提供较好的资产-域名-所属单位的关联信息,不使用CDN或云WAF的业务如果与使用相关产品的业务部署在同一网络区域会非常容易绕过安全设施。

TIPS:多家安全产品在使用中,均是IPv4资源探测,但是IPv6下可能会有更好的探测结果,目前实现IPv6的主要方式为NAT64+DNS64技术,导致业务实际接到的访问请求中无源IP而是nat后的IP,IPv6请求会转换为较为固定的IPv4地址,且一般在白名单内。对于防守方来说,关键时期关闭IPv6转换可能是更好的选择。同时,海量IPv6的提供,会给互联网测绘带来极高的难度,全栈IPv6以后,资产测绘将更加依赖于域名。

指纹信息:预期可识别网站、邮箱、物理设备、开源组件(中间件)、开发框架、物理设备等信息

结果:部分厂商能识别相关资产,但是不准确、无关联,指纹资产往往是一个单独的界面,只能关联相关来源的IP,无法与资产信息一一对应,没有做好组织关系。指纹信息同样倾向于回包特征、banner识别,还包含各种端口特征。

TIPS:在反测绘中,去除各类中间件配置文件回包的的特征,能够减少测绘结果,但是如果需要自用这些信息,则不能去掉,默认端口变更对测绘无效,但能增加测绘扫描的时间开销。

API接口、APP平台:预期可以检测到相关接口,发现敏感查询接口等资产

结果:差,几乎均不能有效查找暴露面API接口,互联网资产倾向于web类资产,对app资产支持差,除非是web实现的app,能够对各类公众号服务识别。

TIPS:基于API的攻击,基于APP的反编译adb.service的攻击是逐年增多的,但是没有找到比较好的安全方案,目前是通过API网关加强授权+网络出口流量增加监听提升,各厂商沟通后基本都未能找到较合适的通用、有效测绘手段。

代码仓库:预期可检测到代码泄露问题、AK/SK、密钥等代码及权限泄露问题

结果:基本有效,但需要严格调制、关键词、域名等信息组合进行联合查询,误报、重复报问题较多,因未能获取内部权限,未作深入探测。

TIPS:此项内容开源方案较多,实现方式各异,其中部分厂商表现非常优异,部分厂商未能达到开源解决方案效果,如果仅追踪代码泄露,开源方案足够了,但是离职、外包、实习产生的相关泄露目前很难查到具体人员进行删除。

文件泄露:预期可检测到各类敏感设计文件、说明文件、图表等信息

结果:基本有效,但是获取到海量历史文档,绝大部分无价值,需要大量人工挨个确认,在事前编制关键字时,需要做好有效组合,否则容易获取海量无效垃圾信息,其中通讯录、邮箱列表等泄露会带来较高风险。

雇员信息:预期可监控关联单位泄露的信息、泄露邮箱账号,根据相关信息减少钓鱼

结果:部分厂商支持,可发现大量邮箱账号泄露,可发现简历中及参与项目,但无敏感项目信息。可查询大量历史人员,可与邮箱系统等平台碰撞进一步确认邮箱信息。

TIPS:根据简历中的工作经历配合母校做内推钓鱼很多,在职员工的信息披露有必要进行进一步管理。面向HR人员的钓鱼简历也逐年增加,大大增加雇员信息泄露风险,反钓鱼建议仍然是加强邮箱安全及内部演练,雇员信息难以控制。

联动资产扫描:预期可通过暴露面平台对互联网暴露面资产进行漏洞探测

结果:部分厂商支持,扫描质量与厂商相关。

漏洞验证:预期对资产扫描结果中的漏洞进行POC验证

结果:部分厂商支持,poc质量与厂商相关,部分厂商支持自定义POC导入。

资产监控:预期对搜集到的资产长期监测是否存活、变更

结果:部分厂商支持,实现原理为周期性爬虫探活,需要购买高级会员获取更新信息。

暗网监控:无实际预期,泄露后没办法删除。难以推动风险消减,只能查泄露来源,如果未进行数据安全保护工作建设,难以有后续进展。

拓线路径:预期实现单位-资产-资产信息-的探测路径记录,助力对影子资产归属的确认

结果:均不支持,

资产管理:在资产的关联关系、风险上报、资产信息自定义导入导出、自定义指纹、自定义POC等自服务功能上实现较低的依赖度。

结果:差,几乎都不能有效的输出关联性较好的资产关系,

费用问题:商业服务均价在36万/年。

本次调研因为费用问题仅使用可承担费用会员测试,因此可能未体验到更多高级会员服务内容,部分厂商使用测试授权,仅对少量资产进行探测,因此存在疏漏,因为缺乏进一步深入的研究,仅在此进行简单介绍分享,如有不到位到地方,欢迎指正探讨。

# 企业安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者