3.内网资产梳理
操作建议 1. 向客户方收集原始资产表,包括IP、系统归属、责任人:可从已有的资产管理类平台导出做补充;
2. 基于前期对网络及网段的了解,同时参考原始资产表范围,使用扫描工具对防守边界范围内的所冇在线IP做扫描;扫描前应要求针对扫描器IP放通全部访问策略或直接该网段做扫描;
4. 操作建议: 4.1 NMAP+RAP(将NMAP的XML结果导入RAP做分析,RAP可对数据做自动合并、去重、数据库、中间件、端口分析,同时可以此为基础做资产梳理,生成资产总表),在资产表中可标注出集权类系统(DC、4A类、堡垒机、VPN)、敏慼系统、重要资产并给予高赋值,标注出无主资产;
4.2 以NMAP或TSS扫描网络上资产开放的端口及服务,将扫描结果导入RAP做重要端口及高风险端口排查,包括21,22,23,80,135,443,3306,3389,27017端口等(参照RAP/系统设置/重要端口列表);扫描时对于普通网段可用NMAP只对TOP3000端口做扫描以提高速度,对于目标系统及暴露面应做全网段、全量端口扫描;当以TSS做扫描时,应用NMAP做交叉核查;
5. 提示:全面的资产梳理工作属风险评估工作范畴,相当耗时M应根据项目范围、项目预算、实际风险,抓住重点,把握好资产梳理优先级和颗粒度;以自动化工具为抓手,以发现技术风险为导向,不细究资产业务属性细节。
6. 本项工作应上传交付物附件!包括不限于RAP“资产梳理”菜单下可导出的《内网资产扫描详情》、《内网资产总表》或RAP最后生成的《风险评估报告》.doc(含高危端口及改进建议)等。
7. 本项工作完成后,可确认有无安全产品缺失、有无产品需求商机。 |