網(wǎng)絡(luò)安全之背鍋俠是怎樣煉成的
第一章 引子
? ? ? ?近年來,隨著網(wǎng)絡(luò)的不斷發(fā)展,網(wǎng)絡(luò)安全越來越受到各行各業(yè)的關(guān)注?!毒W(wǎng)絡(luò)安全法》的制定,推動(dòng)了國民經(jīng)濟(jì)重點(diǎn)領(lǐng)域在信息安全方面的投入,等級保護(hù)2.0的到來,帶來了合規(guī)建設(shè)新機(jī)遇。與此同時(shí),用戶數(shù)據(jù)和隱私安全事件頻發(fā),棱鏡門、勒索病毒更是成為人們茶余飯后的談資。借此機(jī)會(huì),筆者以朋友小白的親身經(jīng)歷,講述一個(gè)我們身邊的網(wǎng)絡(luò)安全故事。
? ? ? ?小白,就讀于某交通大學(xué)計(jì)算機(jī)應(yīng)用技術(shù)專業(yè),天資聰慧,家境殷實(shí),大學(xué)期間基本以打游戲談戀愛為主業(yè),彈得一手好吉他,日子過得怡然自得。然而轉(zhuǎn)眼臨近畢業(yè),考慮到即將到來就業(yè)問題,小白有些捉急了,不得不鼓足勁頭,臨陣磨槍沖刺各種認(rèn)證考試,一路過五關(guān)、斬六將,順利拿到某軟、某為認(rèn)證,直到順利拿到NISP一級證書,這才大松口氣。
? ? ? ?畢業(yè)后,小白順利進(jìn)入某集團(tuán)公司網(wǎng)絡(luò)信息部擔(dān)任技術(shù)員。經(jīng)過半年的學(xué)習(xí),小白逐漸進(jìn)入角色,安裝配置各種路由器、防火墻信手沾來,各種系統(tǒng)的運(yùn)維更是輕車熟路,各類計(jì)算機(jī)打印機(jī)等等之類的辦公設(shè)備也能修上一修,更因?yàn)檎莆樟藬?shù)據(jù)恢復(fù)的硬功夫深得部門女同事仰慕。因?yàn)楣韭殕T眾多,網(wǎng)絡(luò)架構(gòu)復(fù)雜,各類問題層出不窮,小白雖然忙的焦頭爛額,但是熟能生巧,日常工作基本游刃有余,而且技術(shù)水平得到了很大的提高,甚至幾個(gè)老同事也發(fā)現(xiàn)按照小白的指導(dǎo)開展工作會(huì)更有效率,在外人看來,已然一副工程師派頭。
? ? ? ? 工作兩年多后,公司因?yàn)闃I(yè)務(wù)發(fā)展及信息化應(yīng)用需求,建設(shè)了標(biāo)準(zhǔn)化機(jī)房和私有云,同時(shí)引進(jìn)部署了OA等集成辦公系統(tǒng),極大提高了公司工作效率。小白因?yàn)樵诠ぷ髌陂g表現(xiàn)突出,學(xué)習(xí)能力強(qiáng),被集團(tuán)任命為信息部副主任,主要負(fù)責(zé)機(jī)房設(shè)備的運(yùn)維工作。機(jī)房設(shè)備及辦公系統(tǒng)均為新購置,日常操作培訓(xùn)等有信息部其他同事負(fù)責(zé),小白終于閑了下來,生活又恢復(fù)了大學(xué)時(shí)候的怡然自得,吉他終于又能彈起來了,偶爾還能吃吃雞。每每與同事酒足飯飽之后,小白竟覺得路由表與琴弦的觸感有極強(qiáng)的相似性…
第二章 飛來橫禍(GUO)
? ? ? ? 就這樣又過了一年,這天一大早,小白接到信息部同事的電話,反應(yīng)某業(yè)務(wù)系統(tǒng)無法正常使用,小白急忙趕到公司,經(jīng)過初步檢查,故障是服務(wù)端無響應(yīng)造成的,類似情況之前也有發(fā)生。
? ? ? ? “重啟一下服務(wù)器就好了”,小白一邊想一邊登入服務(wù)器后,看到桌面顯示,小白瞬間懵(握)了(草)!
? ? ? ? 服務(wù)器所有文件均被改為不規(guī)則英文后綴,無法正常讀取,試圖打開文件后,會(huì)彈出窗口要求向指定地址支付比特幣獲得解密文件的密鑰,小白按照癥狀搜索后得知,服務(wù)器這是中了勒索病毒!
? ? ? ? 為避免病毒擴(kuò)散,小白緊急切斷了服務(wù)器網(wǎng)絡(luò),又百度了解了 “勒索病毒”關(guān)鍵詞。
? ? ? ? 原來勒索病毒早在2017年就已出現(xiàn),曾襲擊全球150多個(gè)國家和地區(qū),影響領(lǐng)域包括政府部門、醫(yī)療服務(wù)、通信等多個(gè)行業(yè),中國高校校園網(wǎng)及醫(yī)療系統(tǒng)網(wǎng)絡(luò)也成為重災(zāi)區(qū)。受到感染后,勒索軟件會(huì)將用戶系統(tǒng)上所有的文檔、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等數(shù)據(jù)文件進(jìn)行某種形式的加密操作,使之不可用。重點(diǎn)是感染勒索病毒后,即便繳納贖金,文件也可能無法恢復(fù)。只能在把硬盤低格后,重新安裝操作系統(tǒng),也就意味著服務(wù)器上的數(shù)據(jù)要全完了!
? ? ? ? 了解完這些,小白急匆匆向主管領(lǐng)導(dǎo)辦公室走去,然后詳細(xì)匯報(bào)了當(dāng)前情況以及可能產(chǎn)生的后果。
? ? ? ? “小白,A科技公司前段時(shí)間不是來我們公司拜訪過么,你盡快聯(lián)系一下他們的工程師,描述一下我們遇到的問題,請他們提供解決方案,最好能派遣人員過來現(xiàn)場協(xié)助我們處理,一定要將損失降到最低,盡快恢復(fù)業(yè)務(wù)運(yùn)行,其他部門我來協(xié)調(diào)?!敝鞴茴I(lǐng)導(dǎo)安排道。
? ? ? ? 小白支支吾吾了好一會(huì)兒,原來A科技公司聯(lián)系人的名片已經(jīng)被他順手丟掉了,還好主管領(lǐng)導(dǎo)有保存的電話號碼,這次小白認(rèn)真的記錄了下來。
第三章 亡羊補(bǔ)牢,為時(shí)未晚
? ? ? ? 情況緊急,小白一分鐘也不敢耽擱,第一時(shí)間與A公司工程師取得聯(lián)系,詳細(xì)介紹了所遇狀況,A公司緊急響應(yīng),工程師在10分鐘后便趕到了現(xiàn)場,首先切斷了所有存有重要數(shù)據(jù)設(shè)備的網(wǎng)絡(luò),隨后對其他服務(wù)器和設(shè)備進(jìn)行檢測,所幸未發(fā)現(xiàn)其他數(shù)據(jù)被加密的情況。
? ? ? ? 經(jīng)過對中毒服務(wù)器仔細(xì)診斷,本次事件是攻擊者通過RDP遠(yuǎn)程桌面弱口令枚舉,暴力破解服務(wù)器密碼,使用工具強(qiáng)制結(jié)束殺毒軟件進(jìn)程,手動(dòng)上傳勒索病毒軟件,實(shí)施數(shù)據(jù)加密。
勒索病毒常用攻擊手段一
勒索病毒常用攻擊手段(小白公司遭遇的攻擊形式)
? ? ? ? 考慮到數(shù)據(jù)恢復(fù)的復(fù)雜性及辦公系統(tǒng)的緊迫需求,經(jīng)請示部門領(lǐng)導(dǎo)同意,將中毒服務(wù)器硬盤低格后重新安裝操作系統(tǒng),重新搭建辦公系統(tǒng)軟件,導(dǎo)入異地備份的數(shù)據(jù),同時(shí)對服務(wù)器進(jìn)行了多方面的加固,包括:
? ? ? ? 安裝補(bǔ)丁:WannaCry勒索病毒軟件是攻擊者通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊,利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010,微軟已在2017年3月14日發(fā)布的MS17-010漏洞補(bǔ)丁,下載地址http://www.abcontents.com/Item/84.aspx。
? ? ? ? 修改遠(yuǎn)程桌面端口:遠(yuǎn)程桌面默認(rèn)端口為3389,修改為其他端口可降低被暴力破解的可能性。
? ? ? ? 配置防火墻:開啟防火墻,并為445、135、137、138、139等端口設(shè)置阻斷連接的規(guī)則。
? ? ? ? 修改密碼:被暴力破解服務(wù)器密碼并成功投放勒索病毒的設(shè)備,設(shè)備管理員密碼均為類似123abc的弱密碼,很容易被破解,將設(shè)備管理密碼設(shè)置為包含字母+數(shù)字+符號的強(qiáng)密碼組合,同時(shí)多臺(tái)設(shè)備避免使用同一密碼,有效防止密碼暴力破解。
? ? ? ? 安裝殺毒軟件:安裝現(xiàn)階段主流殺毒軟件,配置殺毒軟件關(guān)閉、卸載密碼,防止惡意停止殺毒軟件進(jìn)程。
? ? ? ? 配置完這些,給服務(wù)器插上網(wǎng)線,辦公系統(tǒng)終于重新投入使用,雖然近一周數(shù)據(jù)缺失,但公司業(yè)務(wù)終于恢復(fù)正常,損失尚在承受范圍內(nèi)。
? ? ? ? 隨后,小白并未松懈,會(huì)同A公司工程師對所有服務(wù)器及辦公電腦進(jìn)行排查及加固。
? ? ? ? 排查工作直到第二天早上才結(jié)束,看到一臺(tái)臺(tái)設(shè)備重新正常運(yùn)行,小白懸著的心終于落了下來,排查過程中,小白也沒放過向A公司工程師學(xué)習(xí)的機(jī)會(huì),虛心請教了網(wǎng)絡(luò)安全管理的要點(diǎn),心中對后續(xù)工作已經(jīng)有了清晰的計(jì)劃。
第四章 塞翁失馬,焉知非福
? ? ? ? 經(jīng)過此次事件,小白深刻了解到網(wǎng)絡(luò)安全的重要性,也深刻理解了數(shù)據(jù)備份的重要性,一改往日的摸魚狀態(tài),制定了詳細(xì)的工作及學(xué)習(xí)計(jì)劃,開啟了奮斗模式。
? ? ? ? 1、了解網(wǎng)絡(luò)安全形勢
? ? ? ? 這一研究,小白嚇了一跳,過去的一年里,從ATT&CK模型框架的興起到實(shí)戰(zhàn)化攻防環(huán)境的建立,從反序列化漏洞的攻防博弈到VPN漏洞的異軍突起,從不斷APT化發(fā)展的勒索攻擊到廣撒網(wǎng)的挖礦活動(dòng),從不斷受地緣政治影響的APT攻擊到新冠疫情引發(fā)的花式攻擊,從MaaS模式的逐漸成熟到惡意軟件家族間“合作”案例的逐漸增多……
參考資料《啟明星辰網(wǎng)絡(luò)安全態(tài)勢觀察報(bào)告》
2019-2020年流行漏洞TOP10
? ? ? ? 2020年上半年,我國捕獲計(jì)算機(jī)惡意程序樣本數(shù)量約1815萬個(gè),日均傳播次數(shù)達(dá)483萬余次,涉及計(jì)算機(jī)惡意程序家族約1.1萬余個(gè)。我國境內(nèi)受計(jì)算機(jī)惡意程序攻擊的IP地址約4208萬個(gè),約占我國IP總數(shù)的12.4%,感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約304萬臺(tái),同比增長25.7%。層出不窮的網(wǎng)絡(luò)安全事件時(shí)刻提醒著我們越來越嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢。
數(shù)據(jù)來源:《2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報(bào)告》
2、學(xué)習(xí)各類安全設(shè)備功能及特色
? ? ? ? 了解了眼下嚴(yán)峻的網(wǎng)絡(luò)安全形勢,小白又對常用安全設(shè)備進(jìn)行了深入研究,充分了解其功能及部署方式:
? ? ? ? 防火墻(FW): 主要用于兩個(gè)網(wǎng)絡(luò)之間做邊界防護(hù),企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的NAT、包過濾規(guī)則、端口映射等功能。其抵御的是外部的攻擊,對內(nèi)部的病毒 (如ARP病毒) 或攻擊作用不大。多采用網(wǎng)關(guān)模式部署,可替代路由器并提供更多的功能。
? ? ? ? 入侵防御 (IPS):一般都具有防火墻的功能,對網(wǎng)絡(luò)攻擊的防御更具有針對性,其可對數(shù)據(jù)包進(jìn)行檢測,對蠕蟲、病毒、木馬、拒絕服務(wù)等攻擊進(jìn)行查殺。(防火墻允許符合規(guī)則的數(shù)據(jù)包進(jìn)行傳輸,對數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進(jìn)行檢查,而入侵防御則通過更深的對數(shù)據(jù)包的檢查)。部署方式同防火墻。
? ? ? ? 入侵檢測(IDS):通過對計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。采用旁路部署模式,通過在核心交換機(jī)上設(shè)置鏡像口,將鏡像數(shù)據(jù)發(fā)送到入侵檢測設(shè)備。?
? ? ? ? 上網(wǎng)行為管理:對上網(wǎng)用戶進(jìn)行流量管理、上網(wǎng)行為日志進(jìn)行審計(jì)、對應(yīng)用軟件或站點(diǎn)進(jìn)行阻止或流量限制等。多采用透明模式部署,將設(shè)備部署在網(wǎng)關(guān)與核心交換之間,對上網(wǎng)數(shù)據(jù)進(jìn)行管理。
? ? ? ? 漏洞掃描系統(tǒng):基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測(滲透攻擊)行為,其還可以生成相關(guān)報(bào)告,提供漏洞修復(fù)意見等。
? ? ? ? 運(yùn)維安全審計(jì):為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自內(nèi)部合法用戶的不合規(guī)操作帶來的系統(tǒng)損壞和數(shù)據(jù)泄露,而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng),以便集中報(bào)警、記錄、分析、處理的一種技術(shù)手段,可對事后處理提供有利證據(jù)。旁路模式部署。使用防火墻對服務(wù)器訪問權(quán)限進(jìn)行限制,只能通過堡壘機(jī)對網(wǎng)絡(luò)設(shè)備/服務(wù)器/數(shù)據(jù)庫等系統(tǒng)操作。
? ? ? ? 安全隔離網(wǎng)閘:一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接,并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。(防火一般在兩套網(wǎng)絡(luò)之間做邏輯隔離,而網(wǎng)閘可以做物理隔離)。常部署于內(nèi)外網(wǎng)之間。
? ? ? ? 網(wǎng)絡(luò)安全審計(jì):針對互聯(lián)網(wǎng)行為提供有效的行為審計(jì)、內(nèi)容審計(jì)、行為報(bào)警、行為控制及相關(guān)審計(jì)功能。滿足用戶對互聯(lián)網(wǎng)行為審計(jì)備案及安全保護(hù)措施的要求,提供完整的上網(wǎng)記錄,便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。采用旁路部署模式,通過在核心交換機(jī)上設(shè)置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計(jì)設(shè)備。
? ? ? ? 數(shù)據(jù)庫安全審計(jì):數(shù)據(jù)庫安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為。可精確到每一條SQL命令,并有強(qiáng)大的報(bào)表功能。采用旁路部署模式,通過在核心交換機(jī)上設(shè)置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計(jì)設(shè)備。
? ? ? ? 日志審計(jì):通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理,及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件,為管理人員提供全局的視角,確??蛻魳I(yè)務(wù)的不間斷運(yùn)營安全。旁路模式部署。通常由設(shè)備發(fā)送日志到審計(jì)設(shè)備, 或在服務(wù)器中安裝代理,由代理發(fā)送日志到審計(jì)設(shè)備。
? ? ? ? WEB應(yīng)用防護(hù)系統(tǒng)(WAF):WAF的防護(hù)對象是網(wǎng)站及B/S結(jié)構(gòu)的各類系統(tǒng),針對HTTP/HTTPS協(xié)議進(jìn)行分析,對SQL注入攻擊、XSS攻擊、Web攻擊進(jìn)行防護(hù),通常部署在web應(yīng)用服務(wù)器前進(jìn)行防護(hù)。
參考資料:《e安在線》
? ? ? ? 3、起草調(diào)查報(bào)告及建議書
? ? ? ? 通過對勒索病毒攻擊事件的反思,小白起草了本次事件的匯報(bào)文件,詳細(xì)闡述了事件過程、處理結(jié)果、造成的損失以及暴露出來公司網(wǎng)絡(luò)安全意識(shí)薄弱,安全設(shè)備缺乏,無應(yīng)急處理預(yù)案等問題。同時(shí)根據(jù)自己近段時(shí)間的學(xué)習(xí)成果,針對公司所面臨的問題提出了建議。
? ? ? ? 4、起草各類網(wǎng)絡(luò)安全方面規(guī)章制度
? ? ? ? 在主管領(lǐng)導(dǎo)的授意下,小白根據(jù)現(xiàn)行法律及規(guī)章制度要求,結(jié)合公司實(shí)際情況,起草了包括《信息安全工作總體方針和安全策略》、《網(wǎng)絡(luò)安全保護(hù)管理制度》、《網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案》、《網(wǎng)絡(luò)安全保密制度》、《信息資產(chǎn)管理制度》、《數(shù)據(jù)安全及備份恢復(fù)管理制度》、《機(jī)房管理制度》等在內(nèi)的一系列管理制度,經(jīng)過仔細(xì)修訂后,交予行政部審批。
第五章 尾聲
? ? ? ? 不久,小白起草的網(wǎng)絡(luò)安全方面的規(guī)章制度通過行政部審核,下發(fā)全集團(tuán)執(zhí)行。同時(shí),小白提交的調(diào)查報(bào)告及建議書得到公司管理層的高度重視,安排信息部門會(huì)同A公司制定詳細(xì)的網(wǎng)絡(luò)升級改造及安全防護(hù)方案并予以實(shí)施。
? ? ? ? 一個(gè)多月后,防護(hù)和審計(jì)等網(wǎng)絡(luò)安全設(shè)備全部上架調(diào)試完畢,正式投入使用。
? ? ? ? 小白按照機(jī)房管理制度嚴(yán)格執(zhí)行著日常巡檢工作,與之前不同的是,小白前往機(jī)房的腳步因?yàn)閮?nèi)心的從容與自信而變的堅(jiān)實(shí)、穩(wěn)定……
?
【返回首頁】 【關(guān)閉窗口】