资产几何？现代组织的外部攻击面

文章预览

工作来源 ASIA CCS 2024 工作背景 CISA  在 2022 年要求对政府的 IT 系统进行漏洞扫描，英国国家网络安全中心（ NCSC ）在 2022 年也计划扫描英国互联网连接的系统漏洞。由于混合云平台化以及外包等影响，获取组织完整的资产是极大的挑战，很多组织自己也不完全掌握资产情况。 由于 IPv4 地址空间有限，云服务厂商都对组织能够获得的 IP 地址做出了限制，如 Azure 每个区最多 10 个 IP 、 GCP 每个区最多 8 个 IP 、 AWS 每个区最多 5 个 IP 。大量的共用现象存在，只扫描 IP 地址的前缀会遗漏掉 50% 的域名。 最常见的消费品行业也只有不到 2% 在 TOP 100 万域名列表中： 所有的 FQDN 只有大约 40% 顶级域名在 TOP 100 万域名列表中： 开源工具 OWASP AMASS2 依赖于精确的 whois 信息匹配，但 60.5% 的域名没有在 whois 记录中使用组织的电子邮件 ………………………………