網絡安全之背鍋俠是怎樣煉成的
第一章 引子
? ? ? ?近年來,隨著網絡的不斷發展,網絡安全越來越受到各行各業的關注?!毒W絡安全法》的制定,推動了國民經濟重點領域在信息安全方面的投入,等級保護2.0的到來,帶來了合規建設新機遇。與此同時,用戶數據和隱私安全事件頻發,棱鏡門、勒索病毒更是成為人們茶余飯后的談資。借此機會,筆者以朋友小白的親身經歷,講述一個我們身邊的網絡安全故事。
? ? ? ?小白,就讀于某交通大學計算機應用技術專業,天資聰慧,家境殷實,大學期間基本以打游戲談戀愛為主業,彈得一手好吉他,日子過得怡然自得。然而轉眼臨近畢業,考慮到即將到來就業問題,小白有些捉急了,不得不鼓足勁頭,臨陣磨槍沖刺各種認證考試,一路過五關、斬六將,順利拿到某軟、某為認證,直到順利拿到NISP一級證書,這才大松口氣。
? ? ? ?畢業后,小白順利進入某集團公司網絡信息部擔任技術員。經過半年的學習,小白逐漸進入角色,安裝配置各種路由器、防火墻信手沾來,各種系統的運維更是輕車熟路,各類計算機打印機等等之類的辦公設備也能修上一修,更因為掌握了數據恢復的硬功夫深得部門女同事仰慕。因為公司職員眾多,網絡架構復雜,各類問題層出不窮,小白雖然忙的焦頭爛額,但是熟能生巧,日常工作基本游刃有余,而且技術水平得到了很大的提高,甚至幾個老同事也發現按照小白的指導開展工作會更有效率,在外人看來,已然一副工程師派頭。
? ? ? ? 工作兩年多后,公司因為業務發展及信息化應用需求,建設了標準化機房和私有云,同時引進部署了OA等集成辦公系統,極大提高了公司工作效率。小白因為在工作期間表現突出,學習能力強,被集團任命為信息部副主任,主要負責機房設備的運維工作。機房設備及辦公系統均為新購置,日常操作培訓等有信息部其他同事負責,小白終于閑了下來,生活又恢復了大學時候的怡然自得,吉他終于又能彈起來了,偶爾還能吃吃雞。每每與同事酒足飯飽之后,小白竟覺得路由表與琴弦的觸感有極強的相似性…
第二章 飛來橫禍(GUO)
? ? ? ? 就這樣又過了一年,這天一大早,小白接到信息部同事的電話,反應某業務系統無法正常使用,小白急忙趕到公司,經過初步檢查,故障是服務端無響應造成的,類似情況之前也有發生。
? ? ? ? “重啟一下服務器就好了”,小白一邊想一邊登入服務器后,看到桌面顯示,小白瞬間懵(握)了(草)!
? ? ? ? 服務器所有文件均被改為不規則英文后綴,無法正常讀取,試圖打開文件后,會彈出窗口要求向指定地址支付比特幣獲得解密文件的密鑰,小白按照癥狀搜索后得知,服務器這是中了勒索病毒!
? ? ? ? 為避免病毒擴散,小白緊急切斷了服務器網絡,又百度了解了 “勒索病毒”關鍵詞。
? ? ? ? 原來勒索病毒早在2017年就已出現,曾襲擊全球150多個國家和地區,影響領域包括政府部門、醫療服務、通信等多個行業,中國高校校園網及醫療系統網絡也成為重災區。受到感染后,勒索軟件會將用戶系統上所有的文檔、數據庫、源代碼、圖片、壓縮文件等數據文件進行某種形式的加密操作,使之不可用。重點是感染勒索病毒后,即便繳納贖金,文件也可能無法恢復。只能在把硬盤低格后,重新安裝操作系統,也就意味著服務器上的數據要全完了!
? ? ? ? 了解完這些,小白急匆匆向主管領導辦公室走去,然后詳細匯報了當前情況以及可能產生的后果。
? ? ? ? “小白,A科技公司前段時間不是來我們公司拜訪過么,你盡快聯系一下他們的工程師,描述一下我們遇到的問題,請他們提供解決方案,最好能派遣人員過來現場協助我們處理,一定要將損失降到最低,盡快恢復業務運行,其他部門我來協調?!敝鞴茴I導安排道。
? ? ? ? 小白支支吾吾了好一會兒,原來A科技公司聯系人的名片已經被他順手丟掉了,還好主管領導有保存的電話號碼,這次小白認真的記錄了下來。
第三章 亡羊補牢,為時未晚
? ? ? ? 情況緊急,小白一分鐘也不敢耽擱,第一時間與A公司工程師取得聯系,詳細介紹了所遇狀況,A公司緊急響應,工程師在10分鐘后便趕到了現場,首先切斷了所有存有重要數據設備的網絡,隨后對其他服務器和設備進行檢測,所幸未發現其他數據被加密的情況。
? ? ? ? 經過對中毒服務器仔細診斷,本次事件是攻擊者通過RDP遠程桌面弱口令枚舉,暴力破解服務器密碼,使用工具強制結束殺毒軟件進程,手動上傳勒索病毒軟件,實施數據加密。
勒索病毒常用攻擊手段一
勒索病毒常用攻擊手段(小白公司遭遇的攻擊形式)
? ? ? ? 考慮到數據恢復的復雜性及辦公系統的緊迫需求,經請示部門領導同意,將中毒服務器硬盤低格后重新安裝操作系統,重新搭建辦公系統軟件,導入異地備份的數據,同時對服務器進行了多方面的加固,包括:
? ? ? ? 安裝補?。?/strong>WannaCry勒索病毒軟件是攻擊者通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊,利用了微軟基于445 端口傳播擴散的 SMB 漏洞MS17-010,微軟已在2017年3月14日發布的MS17-010漏洞補丁,下載地址http://www.tokyomodernstreet.com/Item/84.aspx。
? ? ? ? 修改遠程桌面端口:遠程桌面默認端口為3389,修改為其他端口可降低被暴力破解的可能性。
? ? ? ? 配置防火墻:開啟防火墻,并為445、135、137、138、139等端口設置阻斷連接的規則。
? ? ? ? 修改密碼:被暴力破解服務器密碼并成功投放勒索病毒的設備,設備管理員密碼均為類似123abc的弱密碼,很容易被破解,將設備管理密碼設置為包含字母+數字+符號的強密碼組合,同時多臺設備避免使用同一密碼,有效防止密碼暴力破解。
? ? ? ? 安裝殺毒軟件:安裝現階段主流殺毒軟件,配置殺毒軟件關閉、卸載密碼,防止惡意停止殺毒軟件進程。
? ? ? ? 配置完這些,給服務器插上網線,辦公系統終于重新投入使用,雖然近一周數據缺失,但公司業務終于恢復正常,損失尚在承受范圍內。
? ? ? ? 隨后,小白并未松懈,會同A公司工程師對所有服務器及辦公電腦進行排查及加固。
? ? ? ? 排查工作直到第二天早上才結束,看到一臺臺設備重新正常運行,小白懸著的心終于落了下來,排查過程中,小白也沒放過向A公司工程師學習的機會,虛心請教了網絡安全管理的要點,心中對后續工作已經有了清晰的計劃。
第四章 塞翁失馬,焉知非福
? ? ? ? 經過此次事件,小白深刻了解到網絡安全的重要性,也深刻理解了數據備份的重要性,一改往日的摸魚狀態,制定了詳細的工作及學習計劃,開啟了奮斗模式。
? ? ? ? 1、了解網絡安全形勢
? ? ? ? 這一研究,小白嚇了一跳,過去的一年里,從ATT&CK模型框架的興起到實戰化攻防環境的建立,從反序列化漏洞的攻防博弈到VPN漏洞的異軍突起,從不斷APT化發展的勒索攻擊到廣撒網的挖礦活動,從不斷受地緣政治影響的APT攻擊到新冠疫情引發的花式攻擊,從MaaS模式的逐漸成熟到惡意軟件家族間“合作”案例的逐漸增多……
參考資料《啟明星辰網絡安全態勢觀察報告》
2019-2020年流行漏洞TOP10
? ? ? ? 2020年上半年,我國捕獲計算機惡意程序樣本數量約1815萬個,日均傳播次數達483萬余次,涉及計算機惡意程序家族約1.1萬余個。我國境內受計算機惡意程序攻擊的IP地址約4208萬個,約占我國IP總數的12.4%,感染計算機惡意程序的主機數量約304萬臺,同比增長25.7%。層出不窮的網絡安全事件時刻提醒著我們越來越嚴峻的網絡安全態勢。
數據來源:《2020年上半年我國互聯網網絡安全監測數據分析報告》
2、學習各類安全設備功能及特色
? ? ? ? 了解了眼下嚴峻的網絡安全形勢,小白又對常用安全設備進行了深入研究,充分了解其功能及部署方式:
? ? ? ? 防火墻(FW): 主要用于兩個網絡之間做邊界防護,企業中更多使用的是企業內網與互聯網的NAT、包過濾規則、端口映射等功能。其抵御的是外部的攻擊,對內部的病毒 (如ARP病毒) 或攻擊作用不大。多采用網關模式部署,可替代路由器并提供更多的功能。
? ? ? ? 入侵防御 (IPS):一般都具有防火墻的功能,對網絡攻擊的防御更具有針對性,其可對數據包進行檢測,對蠕蟲、病毒、木馬、拒絕服務等攻擊進行查殺。(防火墻允許符合規則的數據包進行傳輸,對數據包中是否有病毒代碼或攻擊代碼并不進行檢查,而入侵防御則通過更深的對數據包的檢查)。部署方式同防火墻。
? ? ? ? 入侵檢測(IDS):通過對計算機網絡及系統中若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數據發送到入侵檢測設備。?
? ? ? ? 上網行為管理:對上網用戶進行流量管理、上網行為日志進行審計、對應用軟件或站點進行阻止或流量限制等。多采用透明模式部署,將設備部署在網關與核心交換之間,對上網數據進行管理。
? ? ? ? 漏洞掃描系統:基于漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測(滲透攻擊)行為,其還可以生成相關報告,提供漏洞修復意見等。
? ? ? ? 運維安全審計:為了保障網絡和數據不受來自內部合法用戶的不合規操作帶來的系統損壞和數據泄露,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、記錄、分析、處理的一種技術手段,可對事后處理提供有利證據。旁路模式部署。使用防火墻對服務器訪問權限進行限制,只能通過堡壘機對網絡設備/服務器/數據庫等系統操作。
? ? ? ? 安全隔離網閘:一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。(防火一般在兩套網絡之間做邏輯隔離,而網閘可以做物理隔離)。常部署于內外網之間。
? ? ? ? 網絡安全審計:針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤、系統安全管理和風險防范。采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數據發送到審計設備。
? ? ? ? 數據庫安全審計:數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為??删_到每一條SQL命令,并有強大的報表功能。采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數據發送到審計設備。
? ? ? ? 日志審計:通過對網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理,及時發現各種安全威脅、異常行為事件,為管理人員提供全局的視角,確??蛻魳I務的不間斷運營安全。旁路模式部署。通常由設備發送日志到審計設備, 或在服務器中安裝代理,由代理發送日志到審計設備。
? ? ? ? WEB應用防護系統(WAF):WAF的防護對象是網站及B/S結構的各類系統,針對HTTP/HTTPS協議進行分析,對SQL注入攻擊、XSS攻擊、Web攻擊進行防護,通常部署在web應用服務器前進行防護。
參考資料:《e安在線》
? ? ? ? 3、起草調查報告及建議書
? ? ? ? 通過對勒索病毒攻擊事件的反思,小白起草了本次事件的匯報文件,詳細闡述了事件過程、處理結果、造成的損失以及暴露出來公司網絡安全意識薄弱,安全設備缺乏,無應急處理預案等問題。同時根據自己近段時間的學習成果,針對公司所面臨的問題提出了建議。
? ? ? ? 4、起草各類網絡安全方面規章制度
? ? ? ? 在主管領導的授意下,小白根據現行法律及規章制度要求,結合公司實際情況,起草了包括《信息安全工作總體方針和安全策略》、《網絡安全保護管理制度》、《網絡安全應急處理預案》、《網絡安全保密制度》、《信息資產管理制度》、《數據安全及備份恢復管理制度》、《機房管理制度》等在內的一系列管理制度,經過仔細修訂后,交予行政部審批。
第五章 尾聲
? ? ? ? 不久,小白起草的網絡安全方面的規章制度通過行政部審核,下發全集團執行。同時,小白提交的調查報告及建議書得到公司管理層的高度重視,安排信息部門會同A公司制定詳細的網絡升級改造及安全防護方案并予以實施。
? ? ? ? 一個多月后,防護和審計等網絡安全設備全部上架調試完畢,正式投入使用。
? ? ? ? 小白按照機房管理制度嚴格執行著日常巡檢工作,與之前不同的是,小白前往機房的腳步因為內心的從容與自信而變的堅實、穩定……
?
