网络攻防演练：易忽视的社交媒体安全

微信公众号、小程序的普及，为我们的日常生活提供了很多便利，看病挂号、开卡缴费、在线办理业务......，越来越多人习惯在微信公众号和小程序上处理事务。作为新型资产的一种，社交媒体很容易成为忽视的项目。

今年我们在参与企业攻防演习中，碰到了企业对于互联网资产梳理的需求，其实在以往与客户的交流中，我们就发现很多企业忽略了社交媒体的重要性，容易给企业网络安全留下了隐患，也容易给攻防演练行动留下缺口。以往年攻防演练行动攻击为案例，攻击者可通过收集到微信公众号AppID，将AppID录入数据泄露监控模块中，发现github有配置信息泄露，包含内网信息，最终达到突破攻击的效果。

公众号，小程序容易忽视的安全点：

数据代码泄露
 

现阶段公众号，小程序一般都由第三方外包商承担。一些厂商由于安全意识不足，为方便修改、部署，会将代码上传到开源社区统一处理。在运营服务中，会发现大多数企业都出现类似问题，企业无法得知开发代码是否被上传到开源社区。其AppID,secret泄露会导致攻击者控制此公众号、小程序，可篡改信息，并获取数据库信息。甚至作为跳板，突破攻击到达企业内网。

数据无法统一管控
 

中大型企业会存在海量营业网点、分公司。每个区域会有对应的公众号、小程序。作为总部安全负责人，无法细致了解到每个网点的情况信息。网络安全属于短板效应，如果有一处入口没有管控起来，危险可知。

钓鱼仿冒
 

越来越多人习惯在公众号、小程序处理事务，了解公司动态资讯。众多服务功能给手机用户提供了很大的方便，但是此处已被灰黑产盯上，收购一些符合要求的服务号，高仿其他业务名字进行”钓鱼”。这就需要企业定期梳理是否存在钓鱼仿冒公众号、小程序资产。

针对公众号、小程序的资产泄露问题，联软的互联网安全资产监控平台支持全面平台自动化梳理企业公众号，小程序资产。监控其AppID，变更情况，后台接口等信息。并与威胁情报联动，将持续监控是否需有代码泄露，AppID密码泄露等情况。

在攻防演习中，互联网资产梳理、暴露面收敛、风险检测与持续监测等是参加演习的单位在前期必须做且要做好的工作。联软会全面助力企业网络安全防护，帮助企业构建和完善资产安全运营，做好每一次网络防护。