资产为基，技术驱动：全面围剿两高一弱安全隐患

最近一段时间和团队讨论最多的话题就是“两高一弱”专项排查。起因是一些厂商在不负责任的虚假宣传，导致客户摸不着头脑。部分客户找过来咨询。

先说结论，目前市面上任何的单一技术手段都无法完全覆盖，但有相对靠谱的解决方案。

都2025年了，我们为何仍困于“两高一弱”？

中国网络安全发展30余年了，等级保护实施18年了，HW年年打，为什么监管部门还在将“两高一弱”作为专项来进行治理？行业内普遍认为“两高一弱”是老生常谈，但始终是难以根治的问题。看上去是在解决“两高一弱”的问题，实则是根治“人”的惰性与侥幸心理。

技术问题早已有解，人的问题始终无解。关闭3389、445、135等高危端口早就写进了等保标准，但历年各种攻防演习仍有大量目标因端口暴露被击穿；补丁发布到被利用的平均时间已缩短至72小时内，但防护单位补丁安装率不足40%。这些问题的根因是运维图方便、厂商默认配置无人核查、业务系统怕中断不敢打补丁、领导嫌密码复杂，没出事就等于没事的心理在作怪。连我们自己FOFA系统的运维都曾经出现这种心态，可想行业现状。

攻防演习的“过关”心态制造了虚假安全感。80%单位在HW前1-2个月才进行“暴力封堵”—高危端口全封、弱口令批量改、高危漏洞突击补。HW一结束，端口重新开放、新用户又是弱口令。

预判：两高一弱问题会比企业存量漏洞修复快10倍。

技术手段会钝化，管理措施会松弛，两高一弱专项整治是对人性懒惰的强制刹车。

梧州某学校处罚案例：2024年6月，梧州某学校因“弱口令”漏洞被网警通报处罚，近万师生隐私数据命悬一线！梧州案件中，涉事成绩系统存在堪比永恒之蓝的超危漏洞，长期未修复，引发连锁反应：黑客可注入恶意代码，篡改学生成绩；这场看似普通的网络安全事件，实则是“两高一弱”（高危漏洞、高危端口、弱口令）威胁的典型缩影。

其他案例还有某医院因未修复Apache漏洞，致百万患者病历泄露；某企业数据库端口暴露，遭黑客植入挖矿程序，电费暴涨300%，比比皆是。

法律底线约束：

▸弱口令导致数据泄露，依据《中华人民共和国网络安全法》最高罚款100万元；

▸放任高危漏洞不修复，涉事责任人最高面临7年有期徒刑。

“两高一弱”专项整治，本质是监管部门用行政手段约束“人性懒惰”，用“挂账销号”打破“应试过关”心态，因此我们认为两高一弱问题和企业单位自主发现的存量漏洞风险修复效率对比至少高10倍。

治理“两高一弱”，关键在于“看得清”，

因此我们用FOFA给全行业排查整治提效。

比如要解决高危端口，首先要进行资产梳理——这更考验的是运营者的资产管理是否到位。如果运营者能够全面、清晰、动态地掌握自家的资产地图，那么就有能力发现和解决“两高一弱”的问题。

因此近两月我们团队专门在FOFA网络空间测绘系统中，加大了“两高一弱”高危端口清单的扫描测绘频率，加强了“两高一弱”漏洞清单中相关联协议、组件的测绘深度和准确性，致力于为有排查诉求的用户提供探测全面、更新及时的基础网络空间资产数据。

以8月为例，FOFA累计更新了超19亿数据，开足马力为用户治理提效，如上图所示。

FOFA 8月起常见高危端口的更新统计

告别盲区：资产碎片化下的“两高一弱”治理新思路。

两高一弱专项治理灵魂三问：

你的资产地图清晰吗？你有专用技术工具吗？你有动态管理运营机制吗？

思考清楚这三个问题，其实就找到了治理两高一弱的金钥匙。治理需要“资产清晰+专业工具+动态运营”三大支柱。“精准资产地图”为基石、自动化工具为引擎、动态运营为完整体系。缺乏其中任何一环，可能治理工作都会事倍功半，陷入老问题反复出现的困境。

第一步：上帝视角，绘制组织资产“地图”。

关键词：空间测绘、资产梳理、端口扫描、指纹识别。

绘制互联网资产“地图”，“可见性”是安全的第一性原理--你无法保护你看不到的资产。因此治理两高一弱问题，必须从绘制一张清晰的网络资产地图开始。而要实现这一目标，往往需要借助专业的自动化工具，FORadar正是华顺信安为解决这一核心需求而倾力打造的互联网暴露资产自动化挖掘的尖端工具，它深度集成了FOFA、企业组织架构信息，能够对企业单位资产进行全天候的自动挖掘和研判。

FORadar绘制企业互联网资产“地图”

而我们这里主要是用FORadar的核心引擎能力，执行“单位资产测绘”任务，将输出的资产数据作为“两高一弱”排查的基础数据。

只用了几分钟就把一个企业的资产“地图”完整的梳理了出来。系统在资产梳理过程中，如果发现某资产存在高危端口会直接标记下来。这里如果希望把存在“高危端口”的资产快速定位出来，直接在系统中风险告警模块检索即可。

绘制内网资产“地图”。用网探D01画内网资产“地图”算是当前行业内的最佳手实践，它融合了行业最强的网络空间测绘技术和指纹知识库，无疑是一个好的帮手。如需物理区域需要检测，也可以借助便携式工具箱。

网探D01绘制内网资产“地图”

第二步：悬丝诊脉，两高一弱精准排雷。

关键词：官方工具、自动化扫描、HW漏洞、EXP验证、覆盖超90%。

高危漏洞排查方法。在高危漏洞检测方面，可以使用多种技术工具，如网探D01（最权威的两高一弱官方检查工具）、便携式工具箱（隔离网络使用）、FORadar（互联网扫描用）等专项自查自纠工具，这些工具是专门应对两高一弱检测优化过的，对于高危漏洞更是进行了重点更新，涵盖了可远程检测的所有两高一弱漏洞PoC，甚至有些漏洞可直接进行可利用性(EXP)验证，好处是不用在去网上搜集拼凑检测工具了，一套系统就能够满足排查需求。

网探D01融合了两高一弱专项的漏洞，各种经过实战演习验证的漏洞。从官方得知“两高一弱”的漏洞覆盖率已超过90%，高危端口100%覆盖，业内遥遥领先，同时能够真正做到“端口+协议+组件”模式的高危端口检测。

D01两高一弱漏洞精确验证与检测

弱口令排查方法。弱口令排查是一项复杂且繁琐的工作，执行过程中遇到的情况也比较多样化，一些业务系统出于安全性考虑，通过使用爆破技术，极易触发系统保护策略，导致在用账号被异常锁死，从而影响人员正常登录业务系统。因此弱口令的评估检测应循序渐进地开展：

a.首要目标是重点清除所有默认口令、空口令的风险（这部分可以放在高危漏洞检测时候同时进行）；

b.其次针对无限频策略的业务服务进行检测；

c.最后针对有限频、锁死、验证码等条件苛刻的资产，使用方法也应是采用慢速低频，账号密码字典随机的检测方式执行。（我们基于Goby专门开发了个小工具GOBrute来解决慢速低频扫描问题）

第三步：攻击面管理思维，打通两高一弱治理闭环。

关键词：数据融合、资产打标、关联责任人、流程闭环。

如果你的单位规模大、资产分散，又没有人力专门进行“两高一弱”的知识库维护，又希望做到治理闭环，那么这时候你就需要应用攻击面管理技术思路和手段，通过它来采集各种安全工具（如上面提到的FORadar/D01/便携式工具箱）中的资产和漏洞数据。

攻击面管理的思路核心是资产属性清晰，资产关联到人，网络链路透彻。一旦我们有了准确的全链条信息，就能够极大的提高“两高一弱”治理的效率。

两高一弱治理场景的FOBrain攻击面管理系统应用

FOBrain攻击面管理系统起到的作用是把分散的安全工具中的数据提取过来，做资产的自动融合，漏洞融合。确保资产属性信息完整，能够关联到责任人。方便下一步做两高一弱闭环治理。