泛资产暴露面风险分析服务 北京数字科技有限公司 2022年1月服务介绍 02 优势及案例 03需求背景 01CONTENTS3 传统互联网资产风险隐患 •缺乏有效手段 全面发现暴露在互联网上的 IT资产 •未知资产 容易成为 攻击突破口 •缺少资产暴露面及隐患的发现、检测 工具移动互联网资产风险隐患 •缺失对微信公众号小程序资产发现，及 仿冒钓鱼的 监测、识别 •缺少对微信公众号小程序与业务系统关 联分析敏感数据泄露风险隐患 •单位内部数据资产上传共享 Github、 Gitee、网盘、文库等开放平台 •数据资产泄露， 产生潜在的风险无法控 制新技术、新业务、新应用的发展，企业存在 资产梳理难、资产种类多、资产不清 等问题，难以快速、全面、精准管理资产 网络安全运营最基础的工作是要 做好资产暴露面的梳理及防护 ，如何利用工具、技术等手段看清资产和风险？资产暴露面临的问题 4 微信小程序数据泄露风险问题突出 来源于： http://www.cac.gov.cn/2021 -07/21/c_1628454189500041.htm5 微信公众号小程序 业务菜单衔接的信息系统已是 攻击者盘点攻击的突破口 。例如：HW-某单位移动资产引起的安全隐患 6 敏感数据泄露 的帐号口令规则，引起 信息系统 被攻 击者社工爆破渗透 。 文库泄露单位 VPN帐号密码命名规则 暴露职工帐号密码命名规则 该账号为统一身份认证 ，可登陆 OA系统、科 研系统、人事系统、资产管理系统、 VPN等 共猜解出 11个帐号弱口令 ，并VPN直接登 录内网 Github代码泄露数据库密码及内网横向渗透 25套业务系统及服务器沦陷例如：HW-某大学弱口令被社工爆破导致信息系统沦陷 1 2 3 47 服务定义 ：泛资产暴露面风险分析服务是帮助客户全面发现 互联网资产暴露面及识别资产风险 的一项安全运营服 务，主要解决 HW、重保及日常 的互联网资产安全问题 。 HW攻防演练 重保安全保障 主管/监管单位 安全检查 突发漏洞自查 告警管理 情报管理漏洞情报 数据泄露情报备案数据 资产情报资产管理 风险管理数据融合 运营看板任务管理 智能调度 Webs ite 文库 IP资产探测 引擎 网站资产探 测引擎 漏洞探测引擎 爬虫引擎事件响应 安全预警资产梳理 风险验证 服务报告 资 产 暴 露 面 排 查 及 风 险 监 测 平 台服务概要 监测目标 监测采集 应用功能组件 安全运营场景应用8 服务内容： 针对客户传统 互联网资产进行全面发现 及风险监测 •IP、URL、端口的发现 ，便于重保时期实时掌握资产变化 •对IP、URL的漏洞及脆弱性检测 ，识别资产漏洞 、高危端口 、弱口令、管理后台等 •xxx.xxx.xxx.0/16 •xxx.xxx.xxx.1-253 •abc.com/cn •IT资产批量导入模板•主动探测 •域名备案数据 •运营商 PDNS •情报数据 •网站爬虫 •······ •网站资产清单 •IP资产清单 •端口指纹资产清单 •IP/网站组件清单 •域名资产清单 •疑似未知资产清单 •·····•系统漏洞检测 •应用漏洞检测 •高危端口识别 •弱口令识别 •管理后台识别 •······ •互联网资产发现及风 险监测报告 -资产清单 、资产分析 -风险清单 、风险分析 -······ •总结建议功能介绍（ 1/3）：传统互联网资产暴露面排除及风险监测 输入线索 发现手段 数据清洗 →资产列表 风险识别 输出监测报告