網(wǎng)絡(luò)安全之背鍋俠是怎樣煉成的
第一章 引子
? ? ? ?近年來(lái),隨著網(wǎng)絡(luò)的不斷發(fā)展,網(wǎng)絡(luò)安全越來(lái)越受到各行各業(yè)的關(guān)注?!毒W(wǎng)絡(luò)安全法》的制定,推動(dòng)了國(guó)民經(jīng)濟(jì)重點(diǎn)領(lǐng)域在信息安全方面的投入,等級(jí)保護(hù)2.0的到來(lái),帶來(lái)了合規(guī)建設(shè)新機(jī)遇。與此同時(shí),用戶數(shù)據(jù)和隱私安全事件頻發(fā),棱鏡門(mén)、勒索病毒更是成為人們茶余飯后的談資。借此機(jī)會(huì),筆者以朋友小白的親身經(jīng)歷,講述一個(gè)我們身邊的網(wǎng)絡(luò)安全故事。
? ? ? ?小白,就讀于某交通大學(xué)計(jì)算機(jī)應(yīng)用技術(shù)專業(yè),天資聰慧,家境殷實(shí),大學(xué)期間基本以打游戲談戀愛(ài)為主業(yè),彈得一手好吉他,日子過(guò)得怡然自得。然而轉(zhuǎn)眼臨近畢業(yè),考慮到即將到來(lái)就業(yè)問(wèn)題,小白有些捉急了,不得不鼓足勁頭,臨陣磨槍沖刺各種認(rèn)證考試,一路過(guò)五關(guān)、斬六將,順利拿到某軟、某為認(rèn)證,直到順利拿到NISP一級(jí)證書(shū),這才大松口氣。
? ? ? ?畢業(yè)后,小白順利進(jìn)入某集團(tuán)公司網(wǎng)絡(luò)信息部擔(dān)任技術(shù)員。經(jīng)過(guò)半年的學(xué)習(xí),小白逐漸進(jìn)入角色,安裝配置各種路由器、防火墻信手沾來(lái),各種系統(tǒng)的運(yùn)維更是輕車熟路,各類計(jì)算機(jī)打印機(jī)等等之類的辦公設(shè)備也能修上一修,更因?yàn)檎莆樟藬?shù)據(jù)恢復(fù)的硬功夫深得部門(mén)女同事仰慕。因?yàn)楣韭殕T眾多,網(wǎng)絡(luò)架構(gòu)復(fù)雜,各類問(wèn)題層出不窮,小白雖然忙的焦頭爛額,但是熟能生巧,日常工作基本游刃有余,而且技術(shù)水平得到了很大的提高,甚至幾個(gè)老同事也發(fā)現(xiàn)按照小白的指導(dǎo)開(kāi)展工作會(huì)更有效率,在外人看來(lái),已然一副工程師派頭。
? ? ? ? 工作兩年多后,公司因?yàn)闃I(yè)務(wù)發(fā)展及信息化應(yīng)用需求,建設(shè)了標(biāo)準(zhǔn)化機(jī)房和私有云,同時(shí)引進(jìn)部署了OA等集成辦公系統(tǒng),極大提高了公司工作效率。小白因?yàn)樵诠ぷ髌陂g表現(xiàn)突出,學(xué)習(xí)能力強(qiáng),被集團(tuán)任命為信息部副主任,主要負(fù)責(zé)機(jī)房設(shè)備的運(yùn)維工作。機(jī)房設(shè)備及辦公系統(tǒng)均為新購(gòu)置,日常操作培訓(xùn)等有信息部其他同事負(fù)責(zé),小白終于閑了下來(lái),生活又恢復(fù)了大學(xué)時(shí)候的怡然自得,吉他終于又能彈起來(lái)了,偶爾還能吃吃雞。每每與同事酒足飯飽之后,小白竟覺(jué)得路由表與琴弦的觸感有極強(qiáng)的相似性…
第二章 飛來(lái)橫禍(GUO)
? ? ? ? 就這樣又過(guò)了一年,這天一大早,小白接到信息部同事的電話,反應(yīng)某業(yè)務(wù)系統(tǒng)無(wú)法正常使用,小白急忙趕到公司,經(jīng)過(guò)初步檢查,故障是服務(wù)端無(wú)響應(yīng)造成的,類似情況之前也有發(fā)生。
? ? ? ? “重啟一下服務(wù)器就好了”,小白一邊想一邊登入服務(wù)器后,看到桌面顯示,小白瞬間懵(握)了(草)!
? ? ? ? 服務(wù)器所有文件均被改為不規(guī)則英文后綴,無(wú)法正常讀取,試圖打開(kāi)文件后,會(huì)彈出窗口要求向指定地址支付比特幣獲得解密文件的密鑰,小白按照癥狀搜索后得知,服務(wù)器這是中了勒索病毒!
? ? ? ? 為避免病毒擴(kuò)散,小白緊急切斷了服務(wù)器網(wǎng)絡(luò),又百度了解了 “勒索病毒”關(guān)鍵詞。
? ? ? ? 原來(lái)勒索病毒早在2017年就已出現(xiàn),曾襲擊全球150多個(gè)國(guó)家和地區(qū),影響領(lǐng)域包括政府部門(mén)、醫(yī)療服務(wù)、通信等多個(gè)行業(yè),中國(guó)高校校園網(wǎng)及醫(yī)療系統(tǒng)網(wǎng)絡(luò)也成為重災(zāi)區(qū)。受到感染后,勒索軟件會(huì)將用戶系統(tǒng)上所有的文檔、數(shù)據(jù)庫(kù)、源代碼、圖片、壓縮文件等數(shù)據(jù)文件進(jìn)行某種形式的加密操作,使之不可用。重點(diǎn)是感染勒索病毒后,即便繳納贖金,文件也可能無(wú)法恢復(fù)。只能在把硬盤(pán)低格后,重新安裝操作系統(tǒng),也就意味著服務(wù)器上的數(shù)據(jù)要全完了!
? ? ? ? 了解完這些,小白急匆匆向主管領(lǐng)導(dǎo)辦公室走去,然后詳細(xì)匯報(bào)了當(dāng)前情況以及可能產(chǎn)生的后果。
? ? ? ? “小白,A科技公司前段時(shí)間不是來(lái)我們公司拜訪過(guò)么,你盡快聯(lián)系一下他們的工程師,描述一下我們遇到的問(wèn)題,請(qǐng)他們提供解決方案,最好能派遣人員過(guò)來(lái)現(xiàn)場(chǎng)協(xié)助我們處理,一定要將損失降到最低,盡快恢復(fù)業(yè)務(wù)運(yùn)行,其他部門(mén)我來(lái)協(xié)調(diào)?!敝鞴茴I(lǐng)導(dǎo)安排道。
? ? ? ? 小白支支吾吾了好一會(huì)兒,原來(lái)A科技公司聯(lián)系人的名片已經(jīng)被他順手丟掉了,還好主管領(lǐng)導(dǎo)有保存的電話號(hào)碼,這次小白認(rèn)真的記錄了下來(lái)。
第三章 亡羊補(bǔ)牢,為時(shí)未晚
? ? ? ? 情況緊急,小白一分鐘也不敢耽擱,第一時(shí)間與A公司工程師取得聯(lián)系,詳細(xì)介紹了所遇狀況,A公司緊急響應(yīng),工程師在10分鐘后便趕到了現(xiàn)場(chǎng),首先切斷了所有存有重要數(shù)據(jù)設(shè)備的網(wǎng)絡(luò),隨后對(duì)其他服務(wù)器和設(shè)備進(jìn)行檢測(cè),所幸未發(fā)現(xiàn)其他數(shù)據(jù)被加密的情況。
? ? ? ? 經(jīng)過(guò)對(duì)中毒服務(wù)器仔細(xì)診斷,本次事件是攻擊者通過(guò)RDP遠(yuǎn)程桌面弱口令枚舉,暴力破解服務(wù)器密碼,使用工具強(qiáng)制結(jié)束殺毒軟件進(jìn)程,手動(dòng)上傳勒索病毒軟件,實(shí)施數(shù)據(jù)加密。
勒索病毒常用攻擊手段一
勒索病毒常用攻擊手段(小白公司遭遇的攻擊形式)
? ? ? ? 考慮到數(shù)據(jù)恢復(fù)的復(fù)雜性及辦公系統(tǒng)的緊迫需求,經(jīng)請(qǐng)示部門(mén)領(lǐng)導(dǎo)同意,將中毒服務(wù)器硬盤(pán)低格后重新安裝操作系統(tǒng),重新搭建辦公系統(tǒng)軟件,導(dǎo)入異地備份的數(shù)據(jù),同時(shí)對(duì)服務(wù)器進(jìn)行了多方面的加固,包括:
? ? ? ? 安裝補(bǔ)?。?/strong>WannaCry勒索病毒軟件是攻擊者通過(guò)改造之前泄露的NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊,利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010,微軟已在2017年3月14日發(fā)布的MS17-010漏洞補(bǔ)丁,下載地址http://www.yizhugong.com/Item/84.aspx。
? ? ? ? 修改遠(yuǎn)程桌面端口:遠(yuǎn)程桌面默認(rèn)端口為3389,修改為其他端口可降低被暴力破解的可能性。
? ? ? ? 配置防火墻:開(kāi)啟防火墻,并為445、135、137、138、139等端口設(shè)置阻斷連接的規(guī)則。
? ? ? ? 修改密碼:被暴力破解服務(wù)器密碼并成功投放勒索病毒的設(shè)備,設(shè)備管理員密碼均為類似123abc的弱密碼,很容易被破解,將設(shè)備管理密碼設(shè)置為包含字母+數(shù)字+符號(hào)的強(qiáng)密碼組合,同時(shí)多臺(tái)設(shè)備避免使用同一密碼,有效防止密碼暴力破解。
? ? ? ? 安裝殺毒軟件:安裝現(xiàn)階段主流殺毒軟件,配置殺毒軟件關(guān)閉、卸載密碼,防止惡意停止殺毒軟件進(jìn)程。
? ? ? ? 配置完這些,給服務(wù)器插上網(wǎng)線,辦公系統(tǒng)終于重新投入使用,雖然近一周數(shù)據(jù)缺失,但公司業(yè)務(wù)終于恢復(fù)正常,損失尚在承受范圍內(nèi)。
? ? ? ? 隨后,小白并未松懈,會(huì)同A公司工程師對(duì)所有服務(wù)器及辦公電腦進(jìn)行排查及加固。
? ? ? ? 排查工作直到第二天早上才結(jié)束,看到一臺(tái)臺(tái)設(shè)備重新正常運(yùn)行,小白懸著的心終于落了下來(lái),排查過(guò)程中,小白也沒(méi)放過(guò)向A公司工程師學(xué)習(xí)的機(jī)會(huì),虛心請(qǐng)教了網(wǎng)絡(luò)安全管理的要點(diǎn),心中對(duì)后續(xù)工作已經(jīng)有了清晰的計(jì)劃。
第四章 塞翁失馬,焉知非福
? ? ? ? 經(jīng)過(guò)此次事件,小白深刻了解到網(wǎng)絡(luò)安全的重要性,也深刻理解了數(shù)據(jù)備份的重要性,一改往日的摸魚(yú)狀態(tài),制定了詳細(xì)的工作及學(xué)習(xí)計(jì)劃,開(kāi)啟了奮斗模式。
? ? ? ? 1、了解網(wǎng)絡(luò)安全形勢(shì)
? ? ? ? 這一研究,小白嚇了一跳,過(guò)去的一年里,從ATT&CK模型框架的興起到實(shí)戰(zhàn)化攻防環(huán)境的建立,從反序列化漏洞的攻防博弈到VPN漏洞的異軍突起,從不斷APT化發(fā)展的勒索攻擊到廣撒網(wǎng)的挖礦活動(dòng),從不斷受地緣政治影響的APT攻擊到新冠疫情引發(fā)的花式攻擊,從MaaS模式的逐漸成熟到惡意軟件家族間“合作”案例的逐漸增多……
參考資料《啟明星辰網(wǎng)絡(luò)安全態(tài)勢(shì)觀察報(bào)告》
2019-2020年流行漏洞TOP10
? ? ? ? 2020年上半年,我國(guó)捕獲計(jì)算機(jī)惡意程序樣本數(shù)量約1815萬(wàn)個(gè),日均傳播次數(shù)達(dá)483萬(wàn)余次,涉及計(jì)算機(jī)惡意程序家族約1.1萬(wàn)余個(gè)。我國(guó)境內(nèi)受計(jì)算機(jī)惡意程序攻擊的IP地址約4208萬(wàn)個(gè),約占我國(guó)IP總數(shù)的12.4%,感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約304萬(wàn)臺(tái),同比增長(zhǎng)25.7%。層出不窮的網(wǎng)絡(luò)安全事件時(shí)刻提醒著我們?cè)絹?lái)越嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)。
數(shù)據(jù)來(lái)源:《2020年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》
2、學(xué)習(xí)各類安全設(shè)備功能及特色
? ? ? ? 了解了眼下嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),小白又對(duì)常用安全設(shè)備進(jìn)行了深入研究,充分了解其功能及部署方式:
? ? ? ? 防火墻(FW): 主要用于兩個(gè)網(wǎng)絡(luò)之間做邊界防護(hù),企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的NAT、包過(guò)濾規(guī)則、端口映射等功能。其抵御的是外部的攻擊,對(duì)內(nèi)部的病毒 (如ARP病毒) 或攻擊作用不大。多采用網(wǎng)關(guān)模式部署,可替代路由器并提供更多的功能。
? ? ? ? 入侵防御 (IPS):一般都具有防火墻的功能,對(duì)網(wǎng)絡(luò)攻擊的防御更具有針對(duì)性,其可對(duì)數(shù)據(jù)包進(jìn)行檢測(cè),對(duì)蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)等攻擊進(jìn)行查殺。(防火墻允許符合規(guī)則的數(shù)據(jù)包進(jìn)行傳輸,對(duì)數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進(jìn)行檢查,而入侵防御則通過(guò)更深的對(duì)數(shù)據(jù)包的檢查)。部署方式同防火墻。
? ? ? ? 入侵檢測(cè)(IDS):通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。采用旁路部署模式,通過(guò)在核心交換機(jī)上設(shè)置鏡像口,將鏡像數(shù)據(jù)發(fā)送到入侵檢測(cè)設(shè)備。?
? ? ? ? 上網(wǎng)行為管理:對(duì)上網(wǎng)用戶進(jìn)行流量管理、上網(wǎng)行為日志進(jìn)行審計(jì)、對(duì)應(yīng)用軟件或站點(diǎn)進(jìn)行阻止或流量限制等。多采用透明模式部署,將設(shè)備部署在網(wǎng)關(guān)與核心交換之間,對(duì)上網(wǎng)數(shù)據(jù)進(jìn)行管理。
? ? ? ? 漏洞掃描系統(tǒng):基于漏洞數(shù)據(jù)庫(kù),通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè),發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)(滲透攻擊)行為,其還可以生成相關(guān)報(bào)告,提供漏洞修復(fù)意見(jiàn)等。
? ? ? ? 運(yùn)維安全審計(jì):為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自內(nèi)部合法用戶的不合規(guī)操作帶來(lái)的系統(tǒng)損壞和數(shù)據(jù)泄露,而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng),以便集中報(bào)警、記錄、分析、處理的一種技術(shù)手段,可對(duì)事后處理提供有利證據(jù)。旁路模式部署。使用防火墻對(duì)服務(wù)器訪問(wèn)權(quán)限進(jìn)行限制,只能通過(guò)堡壘機(jī)對(duì)網(wǎng)絡(luò)設(shè)備/服務(wù)器/數(shù)據(jù)庫(kù)等系統(tǒng)操作。
? ? ? ? 安全隔離網(wǎng)閘:一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接,并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。(防火一般在兩套網(wǎng)絡(luò)之間做邏輯隔離,而網(wǎng)閘可以做物理隔離)。常部署于內(nèi)外網(wǎng)之間。
? ? ? ? 網(wǎng)絡(luò)安全審計(jì):針對(duì)互聯(lián)網(wǎng)行為提供有效的行為審計(jì)、內(nèi)容審計(jì)、行為報(bào)警、行為控制及相關(guān)審計(jì)功能。滿足用戶對(duì)互聯(lián)網(wǎng)行為審計(jì)備案及安全保護(hù)措施的要求,提供完整的上網(wǎng)記錄,便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。采用旁路部署模式,通過(guò)在核心交換機(jī)上設(shè)置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計(jì)設(shè)備。
? ? ? ? 數(shù)據(jù)庫(kù)安全審計(jì):數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為。可精確到每一條SQL命令,并有強(qiáng)大的報(bào)表功能。采用旁路部署模式,通過(guò)在核心交換機(jī)上設(shè)置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計(jì)設(shè)備。
? ? ? ? 日志審計(jì):通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理,及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件,為管理人員提供全局的視角,確??蛻魳I(yè)務(wù)的不間斷運(yùn)營(yíng)安全。旁路模式部署。通常由設(shè)備發(fā)送日志到審計(jì)設(shè)備, 或在服務(wù)器中安裝代理,由代理發(fā)送日志到審計(jì)設(shè)備。
? ? ? ? WEB應(yīng)用防護(hù)系統(tǒng)(WAF):WAF的防護(hù)對(duì)象是網(wǎng)站及B/S結(jié)構(gòu)的各類系統(tǒng),針對(duì)HTTP/HTTPS協(xié)議進(jìn)行分析,對(duì)SQL注入攻擊、XSS攻擊、Web攻擊進(jìn)行防護(hù),通常部署在web應(yīng)用服務(wù)器前進(jìn)行防護(hù)。
參考資料:《e安在線》
? ? ? ? 3、起草調(diào)查報(bào)告及建議書(shū)
? ? ? ? 通過(guò)對(duì)勒索病毒攻擊事件的反思,小白起草了本次事件的匯報(bào)文件,詳細(xì)闡述了事件過(guò)程、處理結(jié)果、造成的損失以及暴露出來(lái)公司網(wǎng)絡(luò)安全意識(shí)薄弱,安全設(shè)備缺乏,無(wú)應(yīng)急處理預(yù)案等問(wèn)題。同時(shí)根據(jù)自己近段時(shí)間的學(xué)習(xí)成果,針對(duì)公司所面臨的問(wèn)題提出了建議。
? ? ? ? 4、起草各類網(wǎng)絡(luò)安全方面規(guī)章制度
? ? ? ? 在主管領(lǐng)導(dǎo)的授意下,小白根據(jù)現(xiàn)行法律及規(guī)章制度要求,結(jié)合公司實(shí)際情況,起草了包括《信息安全工作總體方針和安全策略》、《網(wǎng)絡(luò)安全保護(hù)管理制度》、《網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案》、《網(wǎng)絡(luò)安全保密制度》、《信息資產(chǎn)管理制度》、《數(shù)據(jù)安全及備份恢復(fù)管理制度》、《機(jī)房管理制度》等在內(nèi)的一系列管理制度,經(jīng)過(guò)仔細(xì)修訂后,交予行政部審批。
第五章 尾聲
? ? ? ? 不久,小白起草的網(wǎng)絡(luò)安全方面的規(guī)章制度通過(guò)行政部審核,下發(fā)全集團(tuán)執(zhí)行。同時(shí),小白提交的調(diào)查報(bào)告及建議書(shū)得到公司管理層的高度重視,安排信息部門(mén)會(huì)同A公司制定詳細(xì)的網(wǎng)絡(luò)升級(jí)改造及安全防護(hù)方案并予以實(shí)施。
? ? ? ? 一個(gè)多月后,防護(hù)和審計(jì)等網(wǎng)絡(luò)安全設(shè)備全部上架調(diào)試完畢,正式投入使用。
? ? ? ? 小白按照機(jī)房管理制度嚴(yán)格執(zhí)行著日常巡檢工作,與之前不同的是,小白前往機(jī)房的腳步因?yàn)閮?nèi)心的從容與自信而變的堅(jiān)實(shí)、穩(wěn)定……
?
【返回首頁(yè)】 【關(guān)閉窗口】