若干互联网暴露面的收敛及处置建议

在攻防演练中，攻击队会通过各种渠道搜集目标企业的各种信息，搜集的情报越详细，攻击就会越隐蔽，越快速。这就要求防守队充分了解自己暴露在互联网上的系统、端口、后台管理系统、与外联单位互联的网络路径等信息。哪方面考虑不到位，哪方面往往就会成为被攻陷的点。互联网暴露面越多，防守队越容易被攻击队声东击西，最终顾此失彼，眼看着被攻击却无能为力。针对互联面暴露面的收敛及处置有如下建议：

一、互联网出口可控可检测

大型企业单位往往有多个互联网出口，这意味着攻击者可能会从多个入口进入，为攻击行为的监测和防御带来影响。为了发现和阻断攻击，大型企业单位需要在每个出口部署相关的监测设备和防护设备，这也意味着需要投入更多的人员进行相应的监测分析和响应工作。

处置建议如下：

1）尽量合并减少互联网出口。

2）进行互联网出口功能规划，如划分正式 Web 发布出口、互联网测试系统出口、终端上网互联网出口、托管系统互联网出口等，根据不同出口进行有针对性的安全防护和监控。

二、VPN 接入控制

VPN 带来便利的同时也是最受攻击者青睐的攻击路径之一，一旦 VPN 被攻陷，攻击者进入内网后将畅通无阻。同时由于 VPN 的加密属性，攻击者可以绕过所有安全防护设备，而且还不易被发现。

处置建议如下：

1）对于保留供应商的 VPN 远程维护通道的，采用随用随开、用完即关的策略。

2）采用 VPN+准入认证双层认证，即在 VPN 拨入后增加准入认证和双因素认证。一旦 VPN 被攻陷，准入认证将是第二道防护屏障。

3）VPN 权限清理：对于拨入 VPN 后能够访问的资源进行明确授权。

4）VPN 账号清理：对默认的管理账号进行清理；对于已分配的 VPN 账号，对从未使用过的进行关停处理，对其他账号采用强密码策略并定期修改密码。

三、对外发布系统资产排查

IT 部门普遍存在资产管理缺陷，而安全部门无法管控对外发布系统的所有资产，导致有些停用的、测试后需要下线的、不用的功能模块，不需要开放在互联网上的系统以及未经过安全检测私自上线的系统依然发布在互联网上。这些系统由于缺乏维护普遍安全性较低，会成为攻击者重点攻击的对象。

处置建议如下：

1）让各业务处室自行梳理需要开放在互联网上的系统域名和端口并上报安全管理员，只在互联网上开放业务处室上报的系统域名和端口，其他的一律关闭互联网访问。

2）测试系统和正式上线系统不得部署在同一发布区内，单独划分测试系统区域和互联网出口。

3）在用的系统对相关的功能模块进行排查，对于不使用的功能模块进行下线或关停处理。

四、开放在互联网上的 API 排查

信息系统互联相对复杂，系统之间可能存在接口调用情况，而不安全的接口调用方式会被攻击者利用。例如，不得不开放在公网的 API，基于用户的分布特性又难以限制可接入 IP，因而容易受到 API 参数篡改、内容篡改、中间人攻击等安全威胁。

处置建议如下：

1）通常情况下，WebAPI 是基于 HTTP 协议的，也是无状态传输的，故而认证任务需要我们自己实现。原则上每一次 API 请求都需要带上身份认证信息，通常使用的是 API key。

2）加密和签名。为保证信息的保密性和完整性，通常使用 SSL/TLS 来加密通信消息，由 API 客户端发送和接收。签名用于确保 API 请求和响应在传输过程中未被篡改。

3）API 必须使用文件上传功能的，需要对上传文件扩展名（或强制重命名）、内容、格式进行合规检测，同时关闭上传文件夹执行权限。

五、管理后台排查

攻击者最习惯的渗透方式就是直接找网站的管理后台，通过暴力破解、撞库、默认用户名及密码或者后台指纹漏洞收集等方式进行攻击。一旦攻击成功，即可直接取得网站所有权限。原则上管理后台不得联网，但有些运维人员为了方便还是会把管理后台发布在互联网上。

处置建议如下：

1）进行安全制度约束，禁止将任何互联网系统后台发布在互联网上。

2）定期通过人工或脚本扫描本单位互联网发布系统后台的管理路径，一旦发现，通报关闭。

以上只是给了几点针对互联网方面的防护建议，这是一个持续逐步完善的过程，开始就没有结束，总要防患于未然。