“风起聆音”—互联网敏感信息暴露排查篇

‍‍‍‍‍对于大型企业来说，网络资产数量多、风险暴露面大是网络安全防护中最头疼的点。近年来，近年来，为落实国家提出的网络强国战略，提升整体网络安全实战化水平，实战攻防演习行动规模越来越大，攻防演练模式、规则愈加新颖，打击范围更加广泛，在应对网络防护做得相对良好的企业时，红队更偏向于通过利用该企业的信息泄露问题来组织针对性的攻击。 

早在2020年CIS网络安全创新大会上，关于攻防演练部署工作总结探讨专场中，互联网敏感信息泄露（包括源码泄露、未备案网站等）排查被列入防守方实战攻防演练，准备阶段中的关键一环。‍‍‍‍‍

很多小伙伴可能对敏感信息的概念不是很清楚，在此举两个比较有代表性的例子：

一是互联网源代码泄露，这个是各企业的开发职员为图工作便利或者其他原因，私自将开发项目的源码上传至github、gitee等平台并对外公开，如开发系统上线后源码被他人利用，可以很大程度上提供攻击者组织针对性的攻击依据，对企业网络资产安全形成极大风险隐患；

二是企业未备案网站，这里的未备案网站并不是单纯指没有在工信部备案的网站，严格来说是企业中的员工因为各种原因，私自搭建并存放着该企业数据资料的对外开放的系统，且不在企业的网络结构内，也未曾告知企业相关部门，此类网站因没有专业的安全防护措施，亦无持续开展安全测试工作，一旦被攻破，将会导致大量公司数据泄露，或被人利用进行各项针对性攻击，该情况在大型国企、央企尤为常见。

上述此类高风险、高隐患的互联网资产信息暴露情况，无法依赖传统安全防护设备解决，目前市场上也还没有专门针对源码泄露、企业未备案排查的产品，部分源代码扫描类工具只能用于扫描与发现，无法实现对敏感信息暴露事件的实时监测，亦无法对历史事件进行有效的管理及重复过滤。假如某工作人员今天根据某个关键字词扫描出2万余起疑似事件，该名人员花一个月的时间完成全部的事件分析后再进行扫描仍然是2万余起，宛如大海捞针，极大增加了人力负担与时间成本。

本着解决互联网敏感信息泄露、企业未备案网站监测及事件管理难等问题，雷石安全实验室自主研制了聆风互联网敏感信息监测系统。我们放弃了传统扫描器的模式，采用新的检测、防护模式，根据自定义的策略进行全网扫描匹配，系统会根据每个疑似事件的共性进行重复事件过滤，极大降低了人力过滤分析负担，且支持实时公网扫描，满足了及时发现最新疑似敏感信息泄露风险事件即刻告警的需求，有效的解决了“攻防不对等”中的部分问题。

聆风互联网敏感信息监测系统至今已获得了多家大型企业的推举与支持，在各类实战攻防演习及重大活动保障期间也取得了一定的成效。

2020年实战攻防演习前夕，发现杭州某能源公司的内部敏感源代码在Github上公开，该项目源码中存在十余个数据库连接方式、IP及账号密码均在公网上暴露，因发现处置及时，未发生严重安全事件。‍

2021年实战攻防行动前夕，发现衢州某公司存在供应链风险问题，某清洁服务公司为客户公司提供办公场所清洁及其他服务时，在客户公司不知情的情况下建立了某系统网站，用于存放相关的服务信息，致使客户公司大量员工个人信息暴露在互联网中，聆风发现并确认该网站存在安全漏洞后，清洁服务公司对网站进行了紧急关停整改。

2021年实战攻防期间，发现杭州某公司已上线系统的源码泄露问题，起因是某云服务提供公司外包人员安全意识薄弱，在实施此项目期间擅自在互联网将项目代码公开，后经交涉，该云服务提供公司意识到事态严重性，开除了涉事员工，并公开道歉。

2022年实战攻防演习行动即将到来，在满心期待这场网络安全实战攻防技术盛宴的同时，也期望聆风可以圆满完成本次挑战，持续为合作客户缩小安全风险隐患点、提升网络安全实战化水平。

即使在网络安全前进的道路上，依然充满着困难与挑战，但雷石安全实验室坚信“立志欲坚不欲锐，成功在久不在速”，希望后续可以与更多志同道合的小伙伴沟通交流，互通有无。