一切从资产梳理开始

友情提示：本文共1200+字，预计阅读3分钟。关键词：隐形资产、资产梳理、摸清家底、资产安全治理

若是要入侵一台服务器，从开放的端口服务下手；那么，若是要入侵一家企业，从互联网暴露面资产进行探测，主要围绕域名、IP进行信息收集。

你了解过你所在的企业有多少资产暴露在外网吗？

经过防火墙发布外网，这里的内外网映射关系+域名解析记录，构成了一条完整的网络链路，而这些链路决定了有多少资产暴露在互联网上。很多企业都存在资产不清晰的问题，各类历史遗留问题，如业务端口开通没有进行登记管理，或者项目交接、人员调动等客观因素，致使企业外网资产一直存在混乱状态，隐形资产成为了攻击者的切入点。

站在攻击者的角度来作防御，咱们须要作一个全面的信息资产梳理。

梳理思路：内外网IP与端口映射 --> 确认服务器管理员  --> 业务系统及描述 --> 域名访问地址

面对几百条映射规则，一条条从新梳理过去，真的是个极其考验耐性的任务。在这梳理的过程当中，会发现一些显而易见却每每被忽视的安全风险问题。

1. 外网开放了高危端口，如330六、1521等数据库敏感端口。

2. 内部应用系统开放外网访问。

3. 只需开放移动端，却把PC端和管理后台一块儿开放到了外网。

4. 再也不使用的旧系统或已完成测试的业务系统没有作下线操做。

5. 服务器资源已回收，网络链路关系未清除，服务器IP从新分配给新的业务系统，致使新的业务系统被放到了外网。

从这些安全风险来看，本质上，咱们急需解决两个比较核心的问题：

1. 开放了哪些业务端口，这些业务端口是否存在风险？

2. 缺少有效的回收机制，不良资产如何及时进行回收？

咱们采起了一些改进措施，来进一步增强和改进外网资产管理，从如下4个方面入手，进行外网资产安全治理。

1. 资产梳理，全面梳理当前业务系统的使用情况，并以此做为模板，作到线上线下统一。

2. 清理回收，在资产梳理的基础上，清理中止更新维护的旧系统或已完成测试的业务系统，并造成有效的有效的资产回收机制，从域名解析+内外映射+服务器资源，资源回收一条龙服务。

3. 登记审核，新的业务系统，进行登记审核，评估业务开放的合理性。业务开通登记，确认业务使用用途，临时或永久,对所要开放的业务进行安全评估。

4. 按期盘点，对资产清单按期清查，发现不符的，及时通知整改。

外网资产梳理，其实就是搞清楚每一条域名解析所指向的业务及访问地址，弄明白内外网IP与端口映射。

资产业务流：子域名--> 外网IP+端口-->内网IP+端口-->业务描述 --> 负责人

资产回收流：负责人确认中止维护--> 子域名取消 --> 内外网映射disable --> 服务器资源回收。

做为一个安全/运维工程师，你所管理的资源就是企业的信息资产。好比域名管理，若是你只是关注域名何时到期，那么你作的就太过于粗糙了。这里，还有一个很重要的工做就是域名解析，把每一次的域名解析当成资产租借关系的话，你就会在乎你的每一笔资产支出是借给了谁，它的用途的是什么，长期租用仍是短时间借用，何时能够归还，以及如何减小坏帐损失。

最简单的是道理，最难的是实践。

资产梳理，从混乱到有序，而进一步如何作好企业资产管理，这是一个值得去深究的问题。