“風起聆音”—互聯網敏感信息暴露排查篇

?????對于大型企業來說，網絡資產數量多、風險暴露面大是網絡安全防護中最頭疼的點。近年來，近年來，為落實國家提出的網絡強國戰略，提升整體網絡安全實戰化水平，實戰攻防演習行動規模越來越大，攻防演練模式、規則愈加新穎，打擊范圍更加廣泛，在應對網絡防護做得相對良好的企業時，紅隊更偏向于通過利用該企業的信息泄露問題來組織針對性的攻擊。 

早在2020年CIS網絡安全創新大會上，關于攻防演練部署工作總結探討專場中，互聯網敏感信息泄露（包括源碼泄露、未備案網站等）排查被列入防守方實戰攻防演練，準備階段中的關鍵一環。?????

很多小伙伴可能對敏感信息的概念不是很清楚，在此舉兩個比較有代表性的例子：

一是互聯網源代碼泄露，這個是各企業的開發職員為圖工作便利或者其他原因，私自將開發項目的源碼上傳至github、gitee等平臺并對外公開，如開發系統上線后源碼被他人利用，可以很大程度上提供攻擊者組織針對性的攻擊依據，對企業網絡資產安全形成極大風險隱患；

二是企業未備案網站，這里的未備案網站并不是單純指沒有在工信部備案的網站，嚴格來說是企業中的員工因為各種原因，私自搭建并存放著該企業數據資料的對外開放的系統，且不在企業的網絡結構內，也未曾告知企業相關部門，此類網站因沒有專業的安全防護措施，亦無持續開展安全測試工作，一旦被攻破，將會導致大量公司數據泄露，或被人利用進行各項針對性攻擊，該情況在大型國企、央企尤為常見。

上述此類高風險、高隱患的互聯網資產信息暴露情況，無法依賴傳統安全防護設備解決，目前市場上也還沒有專門針對源碼泄露、企業未備案排查的產品，部分源代碼掃描類工具只能用于掃描與發現，無法實現對敏感信息暴露事件的實時監測，亦無法對歷史事件進行有效的管理及重復過濾。假如某工作人員今天根據某個關鍵字詞掃描出2萬余起疑似事件，該名人員花一個月的時間完成全部的事件分析后再進行掃描仍然是2萬余起，宛如大海撈針，極大增加了人力負擔與時間成本。

本著解決互聯網敏感信息泄露、企業未備案網站監測及事件管理難等問題，雷石安全實驗室自主研制了聆風互聯網敏感信息監測系統。我們放棄了傳統掃描器的模式，采用新的檢測、防護模式，根據自定義的策略進行全網掃描匹配，系統會根據每個疑似事件的共性進行重復事件過濾，極大降低了人力過濾分析負擔，且支持實時公網掃描，滿足了及時發現最新疑似敏感信息泄露風險事件即刻告警的需求，有效的解決了“攻防不對等”中的部分問題。

聆風互聯網敏感信息監測系統至今已獲得了多家大型企業的推舉與支持，在各類實戰攻防演習及重大活動保障期間也取得了一定的成效。

2020年實戰攻防演習前夕，發現杭州某能源公司的內部敏感源代碼在Github上公開，該項目源碼中存在十余個數據庫連接方式、IP及賬號密碼均在公網上暴露，因發現處置及時，未發生嚴重安全事件。?

2021年實戰攻防行動前夕，發現衢州某公司存在供應鏈風險問題，某清潔服務公司為客戶公司提供辦公場所清潔及其他服務時，在客戶公司不知情的情況下建立了某系統網站，用于存放相關的服務信息，致使客戶公司大量員工個人信息暴露在互聯網中，聆風發現并確認該網站存在安全漏洞后，清潔服務公司對網站進行了緊急關停整改。

2021年實戰攻防期間，發現杭州某公司已上線系統的源碼泄露問題，起因是某云服務提供公司外包人員安全意識薄弱，在實施此項目期間擅自在互聯網將項目代碼公開，后經交涉，該云服務提供公司意識到事態嚴重性，開除了涉事員工，并公開道歉。

2022年實戰攻防演習行動即將到來，在滿心期待這場網絡安全實戰攻防技術盛宴的同時，也期望聆風可以圓滿完成本次挑戰，持續為合作客戶縮小安全風險隱患點、提升網絡安全實戰化水平。

即使在網絡安全前進的道路上，依然充滿著困難與挑戰，但雷石安全實驗室堅信“立志欲堅不欲銳，成功在久不在速”，希望后續可以與更多志同道合的小伙伴溝通交流，互通有無。