近日,網絡安全公司360宣佈,通過調查分析,發現美國中央情報局(CIA)的網絡攻擊組織“APT-C-39(由360命名)”
對我國進行長達11年的網絡攻擊滲透。
在此期間,中國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到不同程度的攻擊。
攻擊活動最早可以追溯到2008年9月,並一直持續至2019年6月左右,主要集中在北京、廣東、浙江等省份。
圖源:國際安全智庫
APT ( Advanced Persistent Threat)是一種黑客攻擊手段,主要的特點就是高級和持續,攻擊手段很強,攻擊對象一般是國家政府單位、政企高管、國家或者軍事機密等;攻擊時間極長,通常以年為單位,長期潛伏。中國是目前主要的受害國之一,境外被發現的 APT 間諜組織有三十多個。
有意思的是,此前一直是美國公司狀告中國,中國公司很少對國外黑客組織採取同樣的舉動。這意味著我們對於美國這樣非常高級的攻擊者已具有了一定的防禦溯源反制能力。
自信息化大潮肇始,網絡攻擊日益頻繁,促使網絡安全防護手段日趨完善,各大廠商、網站已經將外網防護做到了極致。目前,網絡安全的短板在於內網。
內網承載了大量的核心資產和機密數據,例如企業的拓撲架構、運維管理的賬號和密碼、高層人員的電子郵件、企業的核心數據等。很多企業的外網一旦被攻擊者突破,內網就成為任人宰割的“羔羊” ,所以,內網安全防護始終是企業網絡安全防護的一個痛點。
近年來,APT攻擊亦成為最火爆的網絡安全話題之一。只有熟悉內網滲透測試的方法和步驟,才能有的放矢地做好防禦工作,最大程度地保障內網的安全。
敏感數據的防護
內網的核心敏感數據,不僅包括數據庫、電子郵件,還包括個人數據及組織的業務數據、技術數據等。可以說,價值較高的數據基本都在內網中。因此,瞭解攻擊者的操作流程,對內網數據安全防護工作至關重要。
實際的網絡環境中,攻擊者主要通過各種惡意方法來定位公司內部各相關人員的機器,從而獲得資料、數據、文件。定位的大致流程如下:
- 定位內部人事組織結構。
- 在內部人事組織結構中尋找需要監視的人員。
- 定位相關人員的機器。
- 監視相關人員存放文檔的位置。
- 列出存放文檔的服務器的目錄。
重點核心業務機器及敏感信息防護
重點核心業務機器是攻擊者比較關心的機器,因此,我們需要對這些機器採取相應的安全防護措施。
1.核心業務機器
- 高級管理人員、系統管理員、財務/人事/業務人員的個人計算機。
- 產品管理系統服務器。
- 辦公系統服務器。
- 財務應用系統服務器。
- 核心產品源碼服務器(IT公司通常會架設自己的SVN或者GIT服務器)。
- 數據庫服務器。
- 文件服務器、共享服務器。
- 電子郵件服務器。
- 網絡監控系統服務器。
- 其他服務器(分公司、工廠)。
2.敏感信息和敏感文件
- 站點源碼備份文件、數據庫備份文件等。
- 各類數據庫的Web管理入口,例如phpMyAdmin、Adminer。
- 瀏覽器密碼和瀏覽器Cookie。
- 其他用戶會話、3389和ipc$ 連接記錄、“回收站”中的信息等。
- Windows無線密碼。
- 網絡內部的各種賬號和密碼,包括電子郵箱、VPN、FTP、TeamView等。
應用與文件形式信息的防護
在內網中,攻擊者經常會進行基於應用與文件的信息收集,包括一些應用的配置文件、敏感文件、密碼、遠程連接、員工賬號、電子郵箱等。
從總體來看,攻擊者一是要了解已攻陷機器所屬人員的職位(一個職位較高的人在內網中的權限通常較高,在他的計算機中會有很多重要的、敏感的個人或公司內部文件),二是要在機器中使用一些搜索命令來尋找自己需要的資料。
針對攻擊者的此類行為,建議用戶在內網中工作時,不要將特別重要的資料存儲在公開的計算機中,在必要時應對Office文檔進行加密且密碼不能過於簡單。
——好書推薦——
《內網安全攻防:滲透測試實戰指南》
徐焱 賈曉璐 著
- 內網滲透測試完全手冊
本書由淺入深、全面、系統地介紹了內網攻擊手段和防禦方法,併力求語言通俗易懂、舉例簡單明瞭、便於讀者閱讀領會。同時結合具體案例進行講解,可以讓讀者身臨其境,快速瞭解和掌握主流的內網漏洞利用技術與內網滲透測試技巧。
閱讀更多 博文視點Broadview 的文章
