Dark123 Field Guide

如何用公开数据建立自有攻击面资产清单

攻击面管理的目标不是找到最多主机,而是把每个公开资产与所有权、业务用途和处理动作连接起来。

Step 01

从权威资产种子开始

整理组织控制的主域名、IP 段、云账号、证书主体和公开品牌。每个种子都需要来源和负责人,避免把合作方或同名组织误纳入扫描范围。

为测试、生产、已下线和第三方托管资产设置不同标签。没有状态字段的清单会很快重新变成无法处置的结果堆积。

Step 02

使用不同数据入口交叉发现

证书透明度适合发现历史子域,服务搜索适合发现端口与指纹,DNS 与网页技术数据可以补充归属线索。不同平台索引时间不同,不应把任一来源当作完整真相。

始终使用被动查询或明确授权方式。公开可见不代表允许对陌生资产进行主动扫描、登录或利用。

Step 03

确认所有权和当前状态

对每条新线索核对 DNS、证书、云资源、代码仓库与业务负责人。无法确认的资产应进入待核实队列,而不是直接计入风险数量。

记录首次发现、最近验证、服务用途、数据敏感度和外部依赖。这样团队才能根据影响而不是工具分数安排修复。

Step 04

让清单持续收敛

为未知资产、过期证书、管理入口和不必要端口设置处理期限。修复后重新查询并保存证据,确保资产真正下线或限制访问。

每日或每周比较新增、恢复和消失资产。攻击面清单只有在变更能触发负责人行动时,才比一次性导出更有价值。

Action Checklist

执行清单

  1. 建立域名、IP、云账号和证书种子
  2. 用至少两类公开数据交叉发现
  3. 确认资产所有权、用途和负责人
  4. 按影响设置修复或下线期限
  5. 持续比较变化并保存复查证据