企业安全建设中的信息收集

信息收集话题太大，今晚先写一些常见的，后期有空会更新、完善这个流程。

需求背景

在信息安全这个领域里，不管在甲方还是乙方工作，信息收集都是很重要的一环，信息收集的好坏，也将影响到后期的环节。比如说在乙方得到对目标的渗透授权之后，第一个步骤就是信息收集，因每个渗透测试人员的思路不同导致他们采集的信息也不相同，我举例一些常见、主流的信息收集有：

• whois信息
• 子域名
• IP段的收集
• 真实IP探测
• 旁站、C段
• 开放端口探测
• 目标域名邮箱收集
• 主机服务探测
• WAF探测
• CDN探测
• 网站架构探测
• WEB站点指纹
• 敏感文件、敏感目录探测
• 业务收集

还有很多，这里不一一举例了，有兴趣的请自行谷歌。而后期的漏洞挖掘都需要采集到信息对下一步进行指导，甚至很多漏洞都需要结合着信息采集到的材料进行利用，比如你找到一个敏感目录泄露了主机的绝对路径信息，当你找到路径穿越或文件上传漏洞时，就能结合着利用了，更快出结果。

企业安全建设中的信息收集

下面主要以互联网企业和业务举例，各个企业之间会 有差异；

这里我们主要讨论企业安全建设的信息收集，讲述一些信息收集的种类和方法。甲方和乙方信息收集的差别在于，甲方相对乙方会相对简单与全面一些，但是信息收集的方法和需要收集什么，这个得安全人员得清楚，不是说你在甲方，人家企业的运维人员就会什么都推送给你看，至少你得和别人说清楚你要什么，和用来做什么。

网络区域划分采集

这几个区域之间建议做网络隔离，有防火墙；

• 办公区 办公区指内部员工办公室的区域，主要组成部分是办公终端，属于内网
• 业务区 业务区指对外提供服务的区域，主要组成是业务服务器，属于外网
• 外网区 外网区指互联网上的全体用户，主要组成部分是用户和攻击者
• 办公服务区 办公服务区是用来支撑员工办公的服务，主要组成是邮件系统、ERP、OA、CMS等，属于内外网混合
• 开发测试服务区 开发测试服务区是用来支撑员工开发测试的的服务，主要组成是开发测试服务器，也属于内外网混合

上面说了一些网络区域，从网络上大致可以划分为内网、外网、内外网混合使用这3种，其中内外网混合这种最容易出安全事故，所以一般使用DMZ区（内外网防火墙之间的区域）防护，而DMZ防护一般可以分为一防火墙设置和双防火墙设置，具体如下图：

awall.png

一防火墙设置图示

twowall.png

双防火墙设置图示

网络拓扑采集

• 企业的网络拓扑图
• 机房IDC分布图、线路图

IT资产采集

• IP
• 主机信息
• 主机端口
• 云主机
• 邮箱名
• V**
• 主机名
• 用户名

硬件资产采集

• 打印机设备
• 考勤设备
• 视频监控设备
• 门禁设备

办公区的操作系统采集

• Windonws
• Mac OS
• Linux

企业开展的业务信息采集

• 域名
• URL
• 业务线
• APP

已购的安全设备信息

• DLP
• IPS
• 堡垒机
• 漏扫系统
• 蜜罐系统
• 流量异常报警系统
• 日志审计系统
• WAF系统

收集方式

上面描述了一些在企业安全建设中需要收集的信息，那么收集方式是通过和对应的负责人沟通，得到许可之后，让对方推送或者拿到接口做自动化采集。比如网络一般找网络工程师，主机和集群信息、日志等需要OP，业务线相关需要找到对应的业务线RD，一些办公区域内的信息需要IT技术支持工程师。

收集后如何存放

收集到上面说的信息之后，一般会存在在SOC（安全运营中心）里面，如果企业没有SOC可以根据自己的情况自研或者购买该系统，SOC是统一收集、存储、处理安全相关信息，并且主要是用来监测各种级别安全告警的平台。