攻防演练中的防泄露全家福

信息搜集是攻防演练中攻击者进行的第一步操作，也是非常重要的一步。为了防止攻击被发现，攻击队一般会采取外围信息收集的策略，并根据搜集到的数据的质量确定后续的攻击方法或思路。外围信息收集的主要来源是信息泄露。信息泄露及其处置方式主要分为以下几类。

一、防文档信息泄露

许多开发人员、运维人员安全意识不足，例如，为了方便或赚积分把一些未脱敏文件上传到网盘、文库、运维群等公共平台上，造成关键文档信息泄露。如果密码、接口信息、网络架构等文档信息泄露，攻击者会根据泄露信息绕过安全防护，使安全防护形同虚设。攻击者一般会通过如下几类网站或工具搜索目标单位信息：

• 学术网站类，如知网 CNKI、Google 学术、百度学术；

• 网盘类，如微盘 Vdisk、百度网盘、360 云盘等；

• 代码托管平台类，如 GitHub、Bitbucket、GitLab、Gitee 等；

• 招投标网站类，自建招投标网站、第三方招投标网站等；

• 文库类，如百度文库、豆丁网、道客巴巴等；

• 社交平台类，如微信群、QQ 群、论坛、贴吧等。

最受攻击者欢迎的文档信息包括以下几类。

• 使用手册：VPN 系统、OA 系统、邮箱等系统的使用手册，其中的敏感信息可能包含应用访问地址、默认账号信息等。

• 安装手册：可能包含应用默认口令、硬件设备的内外网地址等。

• 交付文档：可能包含应用配置信息、网络拓扑、网络的配置信息等。

具体处置建议如下。

1）从制度上明确要求敏感文档一律不准上传到网盘或文库，并定期审查。

2）对第三方人员同样要求涉及本单位的敏感文档，未经合同单位允许不得共享给项目无关人员，不得上传到网盘、文库、QQ 群共享等公共平台。一经发现，严肃处理。

3）定期去上面提到的各类网站或工具中搜索自己单位的关键字，如发现敏感文档要求上传者或平台删除。

二、防代码托管泄露

开发者利用社交编程及代码托管网站，使用户可以轻易地管理、存储和搜索程序源代码，这些代码托管网站受到了广大程序员们的热爱。然而，缺乏安全意识的程序员可能会将组织或客户公司的源代码全部或部分上传到代码托管网站。攻击者找到目标单位源代码后会直接对源代码进行安全审计，通过白盒测试挖掘系统漏洞，使得部分防御措施失效或精准绕过防护规则；或者源代码中包含的敏感信息可能会涉及应用连接的账号和密码、配置信息等重要信息，泄露后会被直接利用。

针对防代码托管泄露的建议如下：

1）在制度上严禁项目源代码公开到代码托管网站；

2）禁止开发人员私自将源代码复制到不可控的电脑上；

3）定期在 GitHub、Bitbucket、GitLab、Gitee 等各大代码托管网站上搜索自己单位的关键字，如发现上面有自己单位的源代码，要求上传者或平台删除。

三、防历史漏洞泄露

大多数攻击者会在漏洞平台上搜索目标单位系统或与目标单位系统指纹相同系统的漏洞信息，并根据漏洞信息测试漏洞是否存在，如果漏洞未修复，则会直接利用。目前主流的漏洞上报平台如下。补天平台、漏洞盒子、乌云镜像、Hackerone。

处置建议如下：

1）收集各大漏洞平台上关于本单位的漏洞信息，逐一验证修复情况；

2）收集和本公司使用相同商业系统或开源系统的漏洞信息，逐一验证本单位系统是否存在漏洞平台披露的漏洞。

四、防人员信息泄露

目标单位人员的邮箱、电话、通讯录等信息泄露也会带来一定程度的安全隐患，攻击者可以用这些信息来对这些人员采取定向钓鱼、社工等手段，控制他们的电子设备，从而进行进一步的信息收集和入侵。

处置建议如下：

1）增强人员安全意识，不要轻易打开可疑邮件，不得向未经确认人员泄露敏感信息，禁止将未经确认人员添加到业务群或其他敏感工作群；

2）禁止在程序源代码里放管理员邮箱、电话等敏感信息。

五、防其他信息泄露

除上述可能造成的信息泄露外，攻击者也会收集目标单位的供应商信息、企业组织结构或下属企业信息，并通过攻击这些目标迂回攻击目标企业信息系统。这也是攻击者较常使用的攻击手段。

处置建议如下：

1）与下属企业的系统互联，上网络层面部署安全防护和检测设备，接入前下属企业系统要出具代码审计和渗透测试报告，保障接入安全；

2）不要和其他系统公司或个人共用密码，如有条件可增加动态密码或者密钥认证，防止黑客撞库攻击；3）对于托管在公有云上的系统，要求云提供商单独部署，不得与其他企业系统共用网段、服务器以及存储等组件，防止旁路攻击。