一切從資產梳理開始

友情提示：本文共1200+字，預計閱讀3分鐘。關鍵詞：隱形資產、資產梳理、摸清家底、資產安全治理

若是要入侵一臺服務器，從開放的端口服務下手；那麼，若是要入侵一家企業，從互聯網暴露面資產進行探測，主要圍繞域名、IP進行信息收集。

你瞭解過你所在的企業有多少資產暴露在外網嗎？

經過防火牆發佈外網，這裏的內外網映射關係+域名解析記錄，構成了一條完整的網絡鏈路，而這些鏈路決定了有多少資產暴露在互聯網上。很多企業都存在資產不清晰的問題，各類歷史遺留問題，如業務端口開通沒有進行登記管理，或者項目交接、人員調動等客觀因素，致使企業外網資產一直存在混亂狀態，隱形資產成爲了攻擊者的切入點。

站在攻擊者的角度來作防禦，咱們須要作一個全面的信息資產梳理。

梳理思路：內外網IP與端口映射 --> 確認服務器管理員  --> 業務系統及描述 --> 域名訪問地址

面對幾百條映射規則，一條條從新梳理過去，真的是個極其考驗耐性的任務。在這梳理的過程當中，會發現一些顯而易見卻每每被忽視的安全風險問題。

1. 外網開放了高危端口，如330六、1521等數據庫敏感端口。

2. 內部應用系統開放外網訪問。

3. 只需開放移動端，卻把PC端和管理後臺一塊兒開放到了外網。

4. 再也不使用的舊系統或已完成測試的業務系統沒有作下線操做。

5. 服務器資源已回收，網絡鏈路關係未清除，服務器IP從新分配給新的業務系統，致使新的業務系統被放到了外網。

從這些安全風險來看，本質上，咱們急需解決兩個比較核心的問題：

1. 開放了哪些業務端口，這些業務端口是否存在風險？

2. 缺少有效的回收機制，不良資產如何及時進行回收？

咱們採起了一些改進措施，來進一步增強和改進外網資產管理，從如下4個方面入手，進行外網資產安全治理。

1. 資產梳理，全面梳理當前業務系統的使用情況，並以此做爲模板，作到線上線下統一。

2. 清理回收，在資產梳理的基礎上，清理中止更新維護的舊系統或已完成測試的業務系統，並造成有效的有效的資產回收機制，從域名解析+內外映射+服務器資源，資源回收一條龍服務。

3. 登記審覈，新的業務系統，進行登記審覈，評估業務開放的合理性。業務開通登記，確認業務使用用途，臨時或永久,對所要開放的業務進行安全評估。

4. 按期盤點，對資產清單按期清查，發現不符的，及時通知整改。

外網資產梳理，其實就是搞清楚每一條域名解析所指向的業務及訪問地址，弄明白內外網IP與端口映射。

資產業務流：子域名--> 外網IP+端口-->內網IP+端口-->業務描述 --> 負責人

資產回收流：負責人確認中止維護--> 子域名取消 --> 內外網映射disable --> 服務器資源回收。

做爲一個安全/運維工程師，你所管理的資源就是企業的信息資產。好比域名管理，若是你只是關注域名何時到期，那麼你作的就太過於粗糙了。這裏，還有一個很重要的工做就是域名解析，把每一次的域名解析當成資產租借關係的話，你就會在乎你的每一筆資產支出是借給了誰，它的用途的是什麼，長期租用仍是短時間借用，何時能夠歸還，以及如何減小壞帳損失。

最簡單的是道理，最難的是實踐。

資產梳理，從混亂到有序，而進一步如何作好企業資產管理，這是一個值得去深究的問題。