bariskececi/exposed

GitHub: bariskececi/exposed

EXPOSED 是一款纯前端的工业控制系统安全可视化工具,通过实时世界地图展示全球关键基础设施的公网暴露情况,并基于主流安全框架为用户生成可操作的优先级修复计划。

Stars: 1 | Forks: 0

# 🌍 EXPOSED ![EXPOSED](https://static.pigsec.cn/wp-content/uploads/repos/cas/cd/cd56313b872224c653672abcc3d18ec012d5504fda05c11454bf6e16571102b8.png) ### 有多少关键基础设施正暴露在公网上 —— 以及*你的*基础设施该如何应对。 **[▶ 打开实时地图](https://bariskececi.github.io/exposed/)** · 无需安装,点击即开。 ![EXPOSED demo](https://static.pigsec.cn/wp-content/uploads/repos/cas/ed/ede63333152de7c03953226381450cc7f65cd7c4d8935b10dcecd343492f52e9.gif) 大多数人想象中的工业控制系统都是密封的、实行物理隔离的、不可触碰的。 现实情况是:自来水厂、电网、工厂和楼宇系统都在通过**没有密码且没有加密**的协议, 响应着公共互联网的请求。 EXPOSED 将这些情况展示在实时世界地图上 —— 逐个国家、逐个协议地展示 —— 让你无法忽视其庞大的规模。 接着它会做最关键的部分:**告诉你该怎么修复。** ## 两个部分 **1. 地图 —— 直观了解规模。** 针对六种协议(Modbus、Siemens S7、DNP3、IEC-104、BACnet、EtherNet/IP)暴露在互联网上的 OT 进行持续的全球调查。标记的大小取决于暴露程度,实时信息流会在发现响应者时将其流式传输,并且你可以**按地区和协议进行筛选** —— 每一项都配有通俗语言的注释,说明它是什么以及为什么暴露很重要。将鼠标悬停在任何国家/地区即可进行检查。只需十秒钟,就能让你产生“等等,有*那么*多?”的震撼时刻。 **2. 顾问 —— 获取你的计划。** 点击 **Check your exposure**,选择你所在的行业,回答关于你所处环境的六个是非题,EXPOSED 就会生成一份**优先级行动计划** —— 精确的修复措施,按照正确的顺序排列,每一项都附有*为什么重要*以及*如何操作*。该指南遵循 **[SANS 5 ICS Critical Controls](https://www.sans.org/blog/the-five-ics-cybersecurity-critical-controls/)** 和 CISA 的建议 —— 这些阻止绝大多数真实 OT 入侵的基础要素绝不容忽视。 绝不虚晃一枪。如果你的 OT 暴露在互联网上,它会告诉你如何将其下线,以及具体怎么操作。如果你没有进行监控 —— 这是 **超过 90%** 的 OT 网络的现状 —— 它会告诉你从哪里开始着手。 ## 为什么采用这种方式构建 只停留在认知层面而不采取行动只会带来焦虑。许多仪表盘只会让你感到恐慌;却极少有仪表盘能告诉你周一早上该做些什么。EXPOSED 旨在引导访客从*“哦,不”*的恐慌转变为*“好的,这是我首先要做的五件事”* —— 并指出真正能执行这些操作的免费、开源工具。 ## 负责任地使用 - **没有真实的真实主机。没有 IP 地址。没有目标列表。** 该地图使用基于公共互联网暴露研究(类似 Shodan/Censys 风格的扫描)建模的*代表性汇总数据*。它传达的是规模和趋势,而不是“去攻击这个”。 - 它是一款面向防御者、教育工作者和决策者的**认知与指导工具**。 - 行动计划是真实的、基于安全框架的 OT 安全建议,你可以立即付诸实践。 ## 为广泛传播而生 - **单文件。** 纯 HTML5 Canvas + 原生 JavaScript 编写。无需构建,无外部依赖,无追踪。一切均在浏览器中运行 —— 不上传任何数据。 - **随处运行。** 打开 `index.html`,或将其托管在任何静态服务器 / GitHub Pages 上。支持离线使用。 ``` open index.html # macOS xdg-open index.html # Linux python3 -m http.server 8080 # or serve it → http://localhost:8080 ``` ## License MIT — 见 [LICENSE](LICENSE)。GNSAC OT 安全工具包的一部分。
标签:HTTP/HTTPS抓包, OT/ICS, PKINIT, Web前端, 后端开发, 安全意识, 工控安全, 态势感知, 数据可视化, 风险治理