"影子资产"是怎么被打穿的？攻防演练前必做的 5 步资产盘点

摘要

90% 的 HVV 失分都来自"自己都不知道还活着"的影子资产。本文给出攻防演练前必做的 5 步资产盘点法，从内部清单、外部测绘、代码泄露、第三方接入到云上资产，帮你把暴露面收敛到最小，再上演练场。

一、影子资产：被忽略的最大风险

每年 HVV 复盘，最高频的失分理由是同一句话："那个系统怎么还在啊？"

• 多年前测试用的 demo 系统，从未关闭；
• 离职员工注册的子域名，权限未回收；
• 合作方接入的灰度环境，被遗忘在外；
• 员工随手在 GitHub 上提交的密钥；
• 某团队私自购买的云上账号，从未纳入资产管理。

这些"影子资产"对企业的核心业务系统而言不重要，但对攻击者而言是最佳突破口——往往防护薄弱、长期无人维护、却能直接通向内网。

CADC 在方案沟通阶段会与客户共同确定演练范围，但客户自己提供的资产清单往往只是"主资产"。要避免影子资产成为致命短板，企业必须在演练开始前做一次完整的资产盘点。

二、5 步资产盘点法

第 1 步：内部清单对账

• CMDB / IT 资产管理平台的全量导出；
• 各业务线自报"我们还在用的系统"；
• 财务侧的"还在付费的云账号 / 域名 / SSL 证书"；
• 网络侧的"还在路由表里的 IP 段"。

关键产出：一张包含 IP、域名、负责人、业务线、部署位置的全量清单。

第 2 步：外部测绘扫描

• 利用互联网测绘平台（如 ZoomEye、FOFA、Censys）反向查询企业资产；
• 子域名枚举工具批量扫描；
• 证书透明度日志（CT logs）反查所有签发过的证书；
• 第三方接入面（如友情链接、合作伙伴接入）盘点。

关键产出：外部视角下的资产清单，对照内部清单找差异。

第 3 步：代码泄露排查

• 在 GitHub / Gitee 上以企业关键字搜索；
• 检查公开仓库中是否有 AccessKey、密码、内部域名；
• 同步排查个人邮箱注册的"私人项目"。

关键产出：代码泄露清单 + 紧急处理优先级。

第 4 步：第三方接入梳理

• 所有 VPN 接入账号清单；
• 所有合作方专线清单；
• 所有 SaaS 服务的供应商清单；
• 所有外包驻场账号清单。

关键产出：第三方接入清单 + 权限最小化整改清单。

第 5 步：云上资产盘点

• 公有云账号下的所有 IP、对象存储桶、API 网关；
• 所有 IAM 角色与策略；
• 所有 AccessKey 的最近使用记录；
• 多云 / 混合云场景下的跨云资源。

关键产出：云上资产清单 + IAM 策略最小化建议。

三、把"差异"变成行动清单

完成 5 步盘点后，关键动作是把"内部清单"与"外部清单"做差集：

• A 类：内部有、外部无 → 正常资产，纳入正式管理；
• B 类：内部无、外部有 → 影子资产，立即处理；
• C 类：内部有、外部有但不一致 → 待核实；
• D 类：代码 / 接入 / 云上中发现的"未知资产" → 优先级最高，立即收敛。

B 类与 D 类的处理路径通常是：关停 / 收敛 / 纳入管理三选一。

四、演练范围授权函的"完整性"

CADC 在演练前会要求客户出具授权函，明确测试资产范围。资产盘点不充分，授权函就不完整，攻击队就只能"按客户给的清单打"——结果是真实攻击者用得起的影子资产路径，演练里反而打不到。

这就是为什么 5 步资产盘点不只是"安全治理动作"，更是"演练效果保障动作"。

五、CADC 在资产识别上的辅助能力

虽然 CADC 不是资产管理产品，但攻击队的"自动化武器库"在演练初期会快速完成外部视角的资产盘点：

• 子域名 / IP 段 / 端口 / 服务自动枚举；
• 第三方资产关联分析；
• 云上资产识别。

这些"攻击者视角"的资产识别结果，会在《攻防对抗总结报告》里作为加固建议的一部分提供给客户。很多企业第一次拿到这份报告时，会发现外部视角下的资产数量比自己 CMDB 多出 30%–50%——这正是影子资产的真实数量。

六、把资产盘点变成常态化机制

一次性盘点解决不了根本问题。建议建立 3 项常态化机制：

1. 季度资产对账：每个季度做一次内部 vs 外部资产对账；
2. 代码扫描守门：在 CI/CD 流水线中加入密钥扫描，防止新增泄露；
3. 第三方接入登记：所有 VPN / 合作方账号必须先登记后开通，避免"拍脑袋开通"。

七、行动建议

1. 把 5 步资产盘点法纳入下次攻防演练的"前置任务"；
2. 完成后再出具授权函，避免演练范围与真实暴露面错位；
3. 临近 HVV / 重保窗口期，攻击队档期较紧，建议正式演练前 1 个月完成购买。

想看一次基于完整资产盘点的实战攻防对抗服务？

立即了解腾讯云安全攻防对抗服务（CADC）：https://cloud.tencent.com/product/cadc