网络攻击面管理是怎么一回事？

　　如今，许多安全公司和供应商都在谈论诸如漏洞/病毒分析、态势感知或用户行为分析等高大上的话题。虽然听起来科技感十足，但是这些工作的技术门槛和财务成本对于很多企业来说还是很高的。而一些不那么高，技术门槛和财务成本也不那么高的工作，可能会取得更好的效果，比如：攻击面管理。

　　对于网络攻击面管理，这里采用资产管理的方式。如果你想控制资产，你必须在整个生命周期内管理它们，从出生到死亡。这里的资产不仅仅是硬件资产，还包括软件、服务，甚至安全策略和NAT策略。从专业安全人士的经验来看，人们倾向于对各类资产“只借不还”。这是客观事实，所以我们能做的就是管好这些资产。下面是对需要网络攻击面管理的维度的简要分析：

　　1.基本资产(IP端口服务)

　　从漏洞发现的角度来说，对于实体资产来说，知道它们的IP和开放端口是基本的内容。很多安全从业者都知道，大部分安全部门对公司的资产管理是不满意的。现有信息不准确，资产管理无法由安全部门完成。我们建议的方案是，安全部门要有自己的资产(IP端口服务)发现手段，只需要知道必要的信息(IP: XXX。XXX。XX。XXX有XX漏洞)，其他信息要和资产管理部门对接。这样既保证了基本的安全威胁发现能力，又不涉及自己团队中资产管理的任务。有许多关于资产发现能力的开源软件和商业产品。许多主机安全供应商也将资产管理集成到产品功能中。对于扫描产品来说，重要的是确保扫描仪的IP是白名单。

　　2.机器的审计流程

　　企业内部安全边界分为四个层次：互联网出口安全域主机/VM网卡应用。这里我们不讨论如何部署这些安全策略，我们只讨论如何管理它们。在这里，我们将安全策略视为资产，谁在何时申请开放哪些策略。定期(例如一个月)向相关人员确认这些信息，并在辞职时移交这些政策，以确保下一任继任者了解这些政策的存在和使用。

作为辅助手段，流量分析和主机连接分析也可以用来分析配置的策略近期是否被击中。对于长期未打政策，可以考虑临时下线处理。再者，可以重点关注长期不打，近期频繁打的策略。这是数据分析层面的事情，这里就不赘述了。

3.NAT策略

　　除了常规的访问控制策略，我们还认为NAT是一种访问控制方法。尽量减少出站NAT的数量，也能有效降低被入侵的可能性。毕竟大部分情况下，黑客入侵后都会植入反链接程序。所以NAT策略的管理也可以参考边界策略，记录每个应用，定期确认。你甚至可以通过技术手段判断这个NAT是否被使用过。

　　4.无用的域名

　　对于域名资产，也存在前面提到的“只借不还”的情况。另外，早期的域名管理不够完善，导致大量域名被闲置。资深安全团队给出的清理经验是，通过对域名解析数据的分析，停止解析一段时间(比如2周)无访问量或访问量很低的域名。这项工作的难点不在于如何分析和关闭域名，核心难点在于获得高层领导的同意和业务支持，因为很难保证关闭域名完全不会影响业务。

　　5.数据界面

　　如今大数据时代，数据成为越来越多公司的核心资产，各种应用和数据接口的暴露会埋下大量安全隐患。如果在系统建设前期不重视安全性，一旦这些接口出现问题，基本上无法跟踪重置。所以建议如果前期对数据平台的应用和风险了解不够，不建议前期部署重手段。可以先对相关的接口和数据进行管理，从数据分析中逐步梳理出接口的范围和特征，再通过这些范围和特征部署相应的手段。至少前期可以关闭一些不用的接口，这也是很大的贡献！

全工作中。如果可能的话，试着用简单的方法消除威胁。