企业安全建设中的信息收集

信息收集话题太大,今晚先写一些常见的,后期有空会更新、完善这个流程。

需求背景

在信息安全这个领域里,不管在甲方还是乙方工作,信息收集都是很重要的一环,信息收集的好坏,也将影响到后期的环节。比如说在乙方得到对目标的渗透授权之后,第一个步骤就是信息收集,因每个渗透测试人员的思路不同导致他们采集的信息也不相同,我举例一些常见、主流的信息收集有:

  • whois信息
  • 子域名
  • IP段的收集
  • 真实IP探测
  • 旁站、C段
  • 开放端口探测
  • 目标域名邮箱收集
  • 主机服务探测
  • WAF探测
  • CDN探测
  • 网站架构探测
  • WEB站点指纹
  • 敏感文件、敏感目录探测
  • 业务收集

还有很多,这里不一一举例了,有兴趣的请自行谷歌。而后期的漏洞挖掘都需要采集到信息对下一步进行指导,甚至很多漏洞都需要结合着信息采集到的材料进行利用,比如你找到一个敏感目录泄露了主机的绝对路径信息,当你找到路径穿越或文件上传漏洞时,就能结合着利用了,更快出结果。

企业安全建设中的信息收集

下面主要以互联网企业和业务举例,各个企业之间会 有差异;

这里我们主要讨论企业安全建设的信息收集,讲述一些信息收集的种类和方法。甲方和乙方信息收集的差别在于,甲方相对乙方会相对简单与全面一些,但是信息收集的方法和需要收集什么,这个得安全人员得清楚,不是说你在甲方,人家企业的运维人员就会什么都推送给你看,至少你得和别人说清楚你要什么,和用来做什么。

网络区域划分采集

这几个区域之间建议做网络隔离,有防火墙;

  • 办公区 办公区指内部员工办公室的区域,主要组成部分是办公终端,属于内网
  • 业务区 业务区指对外提供服务的区域,主要组成是业务服务器,属于外网
  • 外网区 外网区指互联网上的全体用户,主要组成部分是用户和攻击者
  • 办公服务区 办公服务区是用来支撑员工办公的服务,主要组成是邮件系统、ERP、OA、CMS等,属于内外网混合
  • 开发测试服务区 开发测试服务区是用来支撑员工开发测试的的服务,主要组成是开发测试服务器,也属于内外网混合

上面说了一些网络区域,从网络上大致可以划分为内网、外网、内外网混合使用这3种,其中内外网混合这种最容易出安全事故,所以一般使用DMZ区(内外网防火墙之间的区域)防护,而DMZ防护一般可以分为一防火墙设置双防火墙设置,具体如下图:

awall.png

一防火墙设置图示

twowall.png

双防火墙设置图示

网络拓扑采集

  • 企业的网络拓扑图
  • 机房IDC分布图、线路图

IT资产采集

  • IP
  • 主机信息
  • 主机端口
  • 云主机
  • 邮箱名
  • VPN
  • 主机名
  • 用户名

硬件资产采集

  • 打印机设备
  • 考勤设备
  • 视频监控设备
  • 门禁设备

办公区的操作系统采集

  • Windonws
  • Mac OS
  • Linux

企业开展的业务信息采集

  • 域名
  • URL
  • 业务线
  • APP

已购的安全设备信息

  • DLP
  • IPS
  • 堡垒机
  • 漏扫系统
  • 蜜罐系统
  • 流量异常报警系统
  • 日志审计系统
  • WAF系统

收集方式

上面描述了一些在企业安全建设中需要收集的信息,那么收集方式是通过和对应的负责人沟通,得到许可之后,让对方推送或者拿到接口做自动化采集。比如网络一般找网络工程师,主机和集群信息、日志等需要OP,业务线相关需要找到对应的业务线RD,一些办公区域内的信息需要IT技术支持工程师。

收集后如何存放

收集到上面说的信息之后,一般会存在在SOC(安全运营中心)里面,如果企业没有SOC可以根据自己的情况自研或者购买该系统,SOC是统一收集、存储、处理安全相关信息,并且主要是用来监测各种级别安全告警的平台。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

安全见闻录

1 篇文章1 人订阅

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券