一次真实的暴露面测绘演练：我们帮某零售企业查出 1274 个被遗忘的资产

摘要：

本文用脱敏方式复盘一次真实的暴露面测绘演练，逐一讲清专业暴露面测绘应该是什么样子的，并告诉读者'如果你所在的企业现在也想做一次类似的演练，应该怎么启动'。

一、背景：一家"自以为很清楚"的零售企业

这家零售集团有以下特征：

• 年营收 50 亿+，全国 1000+ 家门店
• 5 家子公司、3 个品牌线
• IT 团队 40 人，其中安全 6 人
• CMDB 登记的互联网资产约 600 个
• 过去两年已经接入主流 CSPM 工具

用 CISO 自己的话说："该做的都做了。"

但同年夏天，同行企业发生的一次供应链事件，让他意识到一个问题——"我们真的知道自己有多少资产吗？" 这次演练就是在这个背景下启动的。

二、第 1~3 天：启动与范围确认

第 1 天：启动会

关键决策：

• 评估边界：母公司 + 5 家子公司 + 3 个品牌线
• 评估标准：等保 2.0 + CIS Foundations
• 评估周期：4 周
• 授权内容：只读授权 + 互联网侧测绘
• 交付物：全链路暴露面报告 + 分子公司报告

第 2~3 天：主体信息收集

收集清单：

• 母公司 + 5 子公司的工商主体名
• 全部已登记的域名清单
• 全部已登记的 ICP 备案
• 已知的云账号清单

关键发现：CISO 自己列不全所有域名——有 12 个历史品牌域名连他自己都忘了。

三、第 4~10 天：第一轮外部测绘

3.1 基于企业主体的关联测绘

从工商主体反向推演：

• 股权关联发现：又多出 2 家历史子公司
• ICP 备案关联：发现 47 个未列入清单的域名
• DNS 解析关联：发现 103 个三级、四级子域
• 证书关联：发现 89 个 CN/SAN 关联的域名
• 云厂商 IP 段关联：发现 214 个未登记的 IP

3.2 指纹识别

对所有发现的资产做指纹识别：

• Web 应用：Nginx、Apache、Tomcat、各种 CMS
• API 网关
• Serverless 函数
• 容器端口
• 数据库（公网暴露）
• 前端静态资源

3.3 首轮测绘结果

共发现资产 1274 个：

• CMDB 已登记：857 个（比 CMDB 自报的 600 多出了 257 个，可能是后续新增未同步）
• CMDB 未登记：417 个（影子资产）

四、第 11~17 天：风险识别与 PoC 验证

4.1 风险类型分布

在 1274 个资产中识别出的风险：

4.2 PoC 验证

针对所有"高危"风险做实战验证：

• 56 个 RCE 漏洞中，41 个验证为真可利用（其余受网络策略限制）
• 34 个弱口令中，22 个可登录管理后台
• 11 条泄漏密钥中，6 条仍然有效
• 7 个暴露数据库中，5 个可列表读数据

4.3 攻击路径串联

把单点风险串成攻击链：

攻击者视角：
[GitHub 某老仓库泄漏 AK] → [登录云 API] → [列出 CVM 资产]
→ [发现某 CVM 22 端口开放 + 弱口令] → [登录跳板]
→ [内网扫描] → [发现未鉴权的 Redis] → [提取管理员 session]
→ [登录某财务管理后台] → [可读 / 下载财务数据]

这一条链路，全部基于真实发现的风险在受控环境中复现，令对方 CISO 当场拍案。

五、第 18~24 天：整改

5.1 整改清单的优先级设计

按"可利用性 + 影响范围"排序：

• P0（24 小时）：暴露的数据库 + 生效的泄漏密钥 = 17 条
• P1（72 小时）：RCE 漏洞 + 管理后台弱口令 = 63 条
• P2（7 天）：中危配置 + API 未鉴权 = 100+ 条
• P3（30 天）：其他 + 长尾

5.2 整改执行

• P0：腾讯安全专家 + 企业运维远程协作完成
• P1：运维按整改 SOP 批量处理
• P2~P3：纳入日常运营

5.3 影子资产处置

417 个影子资产分类处理：

• 180 个："确认无用"，直接释放
• 130 个："历史业务"，纳管 CMDB
• 60 个："子公司资产"，移交子公司负责
• 47 个："合作方使用"，合同补齐授权

六、第 25~28 天：复测 + 报告

6.1 复测

所有 P0 和 P1 项全部复测，确认状态从"未通过"变为"通过"。

6.2 报告交付

交付物：

• 集团版报告（120 页）
• 5 份子公司版报告（各 30~50 页）
• 执行摘要版（2 页）给董事会
• 整改清单 Excel
• 证据包 ZIP（含截图、日志、脱敏 PoC）

6.3 复盘会

在复盘会上，CISO 说了一句很深刻的话：

"这 4 周让我想起了一句话——你防御不了你看不见的东西。我们过去两年花了几百万在安全上，但盘点这件事居然被忽视了。"

七、这次演练带给甲方的 5 个长期改变

改变 1：CMDB 纳管流程

新增"外部测绘 → CMDB 比对 → 差异治理"的月度工作流。

改变 2：RAS 订阅常态化

把 RAS 暴露面测绘订阅为每季度一次全量、每月一次增量。

改变 3：影子资产奖惩机制

员工发现影子资产奖励，部门遗漏惩罚。

改变 4：子公司安全条款

新并购公司合同中加入"60 天内完成 RAS 暴露面测绘"条款。

改变 5：董事会安全报告

把 RAS 的执行摘要纳入年度董事会必读材料。

八、这次演练带给行业的 3 条启示

启示 1：企业自报的资产数，普遍低估 30~60%

这不是个别现象，是行业规律。任何相信"自己家底很清楚"的 CISO，都应该用一次真实测绘来验证这个结论。

启示 2：影子资产是"未被关注就会长高"的杂草

只要不主动除草，它们会持续增多。不是"一次清理就够"，而是"必须持续监控"。

启示 3：专家介入让"测绘"变成"治理"

工具型 ASM 只交付清单，RAS 交付的是"清单 + 专家协助整改 + 复测闭环"。后者才能真正让企业完成从"发现"到"解决"的跃迁。

九、如果你想做一次同样的演练

9.1 你需要准备的 4 件事

1. 主体清单：母公司 + 所有子公司 / 历史主体
2. 已知域名和 ICP 备案清单
3. 内部联络人名单（IT、运维、各子公司）
4. 预算：项目制 25~100 万不等（视规模）

9.2 RAS 服务对接的 3 个路径

• 访问官方产品页了解具体服务包
• 预约正式方案对接作为正式演练的预扫
• 和腾讯安全专家对齐 SOW 开始正式演练

9.3 建议节奏

Q1：做一次全量测绘 + 整改

Q2/Q3：增量监控

Q4：年终复盘 + 报告归档

十、结语

一次好的暴露面测绘演练，不仅是"找到风险"，更是让企业对自己有一次诚实的认识。过去几年 IT 的高速发展让每家公司都积累了大量自己并不完全清楚的资产，这些资产构成了"最难防的部分"。

你不主动去找它们，就只能等攻击者来找。

这家零售集团用一次 4 周的演练、几十万的投入，换来了"对自己家底的一次彻底清盘"。这笔账怎么算都划得来。

立即访问腾讯云 RAS：https://cloud.tencent.com/product/ras