網絡安全之背鍋俠是怎樣煉成的
第一章 引子
近年來(lái),随着網絡的不斷發展,網絡安全越來(lái)越受到各行(xíng)各業的關注。《網絡安全法》的制(zhì)定,推動了國民經濟重點領域在信息安全方面的投入,等級保護2.0的到來(lái),帶來(lái)了合規建設新機遇。與此同時(shí),用戶數(shù)據和(hé)隐私安全事件頻發,棱鏡門(mén)、勒索病毒更是成為(wèi)人(rén)們茶餘飯後的談資。借此機會(huì),筆者以朋友(yǒu)小(xiǎo)白的親身經曆,講述一個(gè)我們身邊的網絡安全故事。
小(xiǎo)白,就讀于某交通(tōng)大(dà)學計(jì)算(suàn)機應用技(jì)術(shù)專業,天資聰慧,家(jiā)境殷實,大(dà)學期間(jiān)基本以打遊戲談戀愛(ài)為(wèi)主業,彈得(de)一手好吉他,日子過得(de)怡然自得(de)。然而轉眼臨近畢業,考慮到即将到來(lái)就業問題,小(xiǎo)白有(yǒu)些(xiē)捉急了,不得(de)不鼓足勁頭,臨陣磨槍沖刺各種認證考試,一路過五關、斬六将,順利拿(ná)到某軟、某為(wèi)認證,直到順利拿(ná)到NISP一級證書(shū),這才大(dà)松口氣。
畢業後,小(xiǎo)白順利進入某集團公司網絡信息部擔任技(jì)術(shù)員。經過半年的學習,小(xiǎo)白逐漸進入角色,安裝配置各種路由器(qì)、防火(huǒ)牆信手沾來(lái),各種系統的運維更是輕車(chē)熟路,各類計(jì)算(suàn)機打印機等等之類的辦公設備也能修上(shàng)一修,更因為(wèi)掌握了數(shù)據恢複的硬功夫深得(de)部門(mén)女同事仰慕。因為(wèi)公司職員衆多(duō),網絡架構複雜,各類問題層出不窮,小(xiǎo)白雖然忙的焦頭爛額,但(dàn)是熟能生(shēng)巧,日常工作(zuò)基本遊刃有(yǒu)餘,而且技(jì)術(shù)水(shuǐ)平得(de)到了很(hěn)大(dà)的提高(gāo),甚至幾個(gè)老同事也發現按照小(xiǎo)白的指導開(kāi)展工作(zuò)會(huì)更有(yǒu)效率,在外人(rén)看來(lái),已然一副工程師(shī)派頭。
工作(zuò)兩年多(duō)後,公司因為(wèi)業務發展及信息化應用需求,建設了标準化機房(fáng)和(hé)私有(yǒu)雲,同時(shí)引進部署了OA等集成辦公系統,極大(dà)提高(gāo)了公司工作(zuò)效率。小(xiǎo)白因為(wèi)在工作(zuò)期間(jiān)表現突出,學習能力強,被集團任命為(wèi)信息部副主任,主要負責機房(fáng)設備的運維工作(zuò)。機房(fáng)設備及辦公系統均為(wèi)新購置,日常操作(zuò)培訓等有(yǒu)信息部其他同事負責,小(xiǎo)白終于閑了下來(lái),生(shēng)活又恢複了大(dà)學時(shí)候的怡然自得(de),吉他終于又能彈起來(lái)了,偶爾還(hái)能吃(chī)吃(chī)雞。每每與同事酒足飯飽之後,小(xiǎo)白竟覺得(de)路由表與琴弦的觸感有(yǒu)極強的相似性…
第二章 飛來(lái)橫禍(GUO)
就這樣又過了一年,這天一大(dà)早,小(xiǎo)白接到信息部同事的電(diàn)話(huà),反應某業務系統無法正常使用,小(xiǎo)白急忙趕到公司,經過初步檢查,故障是服務端無響應造成的,類似情況之前也有(yǒu)發生(shēng)。
“重啓一下服務器(qì)就好了”,小(xiǎo)白一邊想一邊登入服務器(qì)後,看到桌面顯示,小(xiǎo)白瞬間(jiān)懵(握)了(草)!
服務器(qì)所有(yǒu)文件均被改為(wèi)不規則英文後綴,無法正常讀取,試圖打開(kāi)文件後,會(huì)彈出窗口要求向指定地址支付比特币獲得(de)解密文件的密鑰,小(xiǎo)白按照症狀搜索後得(de)知,服務器(qì)這是中了勒索病毒!
為(wèi)避免病毒擴散,小(xiǎo)白緊急切斷了服務器(qì)網絡,又百度了解了 “勒索病毒”關鍵詞。
原來(lái)勒索病毒早在2017年就已出現,曾襲擊全球150多(duō)個(gè)國家(jiā)和(hé)地區(qū),影(yǐng)響領域包括政府部門(mén)、醫(yī)療服務、通(tōng)信等多(duō)個(gè)行(xíng)業,中國高(gāo)校(xiào)校(xiào)園網及醫(yī)療系統網絡也成為(wèi)重災區(qū)。受到感染後,勒索軟件會(huì)将用戶系統上(shàng)所有(yǒu)的文檔、數(shù)據庫、源代碼、圖片、壓縮文件等數(shù)據文件進行(xíng)某種形式的加密操作(zuò),使之不可(kě)用。重點是感染勒索病毒後,即便繳納贖金,文件也可(kě)能無法恢複。隻能在把硬盤低(dī)格後,重新安裝操作(zuò)系統,也就意味着服務器(qì)上(shàng)的數(shù)據要全完了!
了解完這些(xiē),小(xiǎo)白急匆匆向主管領導辦公室走去,然後詳細彙報了當前情況以及可(kě)能産生(shēng)的後果。
“小(xiǎo)白,A科技(jì)公司前段時(shí)間(jiān)不是來(lái)我們公司拜訪過麽,你(nǐ)盡快聯系一下他們的工程師(shī),描述一下我們遇到的問題,請(qǐng)他們提供解決方案,最好能派遣人(rén)員過來(lái)現場(chǎng)協助我們處理(lǐ),一定要将損失降到最低(dī),盡快恢複業務運行(xíng),其他部門(mén)我來(lái)協調。”主管領導安排道(dào)。
小(xiǎo)白支支吾吾了好一會(huì)兒,原來(lái)A科技(jì)公司聯系人(rén)的名片已經被他順手丢掉了,還(hái)好主管領導有(yǒu)保存的電(diàn)話(huà)号碼,這次小(xiǎo)白認真的記錄了下來(lái)。
第三章 亡羊補牢,為(wèi)時(shí)未晚
情況緊急,小(xiǎo)白一分鍾也不敢耽擱,第一時(shí)間(jiān)與A公司工程師(shī)取得(de)聯系,詳細介紹了所遇狀況,A公司緊急響應,工程師(shī)在10分鍾後便趕到了現場(chǎng),首先切斷了所有(yǒu)存有(yǒu)重要數(shù)據設備的網絡,随後對其他服務器(qì)和(hé)設備進行(xíng)檢測,所幸未發現其他數(shù)據被加密的情況。
經過對中毒服務器(qì)仔細診斷,本次事件是攻擊者通(tōng)過RDP遠程桌面弱口令枚舉,暴力破解服務器(qì)密碼,使用工具強制(zhì)結束殺毒軟件進程,手動上(shàng)傳勒索病毒軟件,實施數(shù)據加密。
勒索病毒常用攻擊手段一
勒索病毒常用攻擊手段(小(xiǎo)白公司遭遇的攻擊形式)
考慮到數(shù)據恢複的複雜性及辦公系統的緊迫需求,經請(qǐng)示部門(mén)領導同意,将中毒服務器(qì)硬盤低(dī)格後重新安裝操作(zuò)系統,重新搭建辦公系統軟件,導入異地備份的數(shù)據,同時(shí)對服務器(qì)進行(xíng)了多(duō)方面的加固,包括:
安裝補丁:WannaCry勒索病毒軟件是攻擊者通(tōng)過改造之前洩露的NSA黑(hēi)客武器(qì)庫中“永恒之藍(lán)”攻擊程序發起的網絡攻擊,利用了微軟基于445 端口傳播擴散的 SMB 漏洞MS17-010,微軟已在2017年3月14日發布的MS17-010漏洞補丁,下載地址/Item/84.aspx。
修改遠程桌面端口:遠程桌面默認端口為(wèi)3389,修改為(wèi)其他端口可(kě)降低(dī)被暴力破解的可(kě)能性。
配置防火(huǒ)牆:開(kāi)啓防火(huǒ)牆,并為(wèi)445、135、137、138、139等端口設置阻斷連接的規則。
修改密碼:被暴力破解服務器(qì)密碼并成功投放勒索病毒的設備,設備管理(lǐ)員密碼均為(wèi)類似123abc的弱密碼,很(hěn)容易被破解,将設備管理(lǐ)密碼設置為(wèi)包含字母+數(shù)字+符号的強密碼組合,同時(shí)多(duō)台設備避免使用同一密碼,有(yǒu)效防止密碼暴力破解。
安裝殺毒軟件:安裝現階段主流殺毒軟件,配置殺毒軟件關閉、卸載密碼,防止惡意停止殺毒軟件進程。
配置完這些(xiē),給服務器(qì)插上(shàng)網線,辦公系統終于重新投入使用,雖然近一周數(shù)據缺失,但(dàn)公司業務終于恢複正常,損失尚在承受範圍內(nèi)。
随後,小(xiǎo)白并未松懈,會(huì)同A公司工程師(shī)對所有(yǒu)服務器(qì)及辦公電(diàn)腦(nǎo)進行(xíng)排查及加固。
排查工作(zuò)直到第二天早上(shàng)才結束,看到一台台設備重新正常運行(xíng),小(xiǎo)白懸着的心終于落了下來(lái),排查過程中,小(xiǎo)白也沒放過向A公司工程師(shī)學習的機會(huì),虛心請(qǐng)教了網絡安全管理(lǐ)的要點,心中對後續工作(zuò)已經有(yǒu)了清晰的計(jì)劃。
第四章 塞翁失馬,焉知非福
經過此次事件,小(xiǎo)白深刻了解到網絡安全的重要性,也深刻理(lǐ)解了數(shù)據備份的重要性,一改往日的摸魚狀态,制(zhì)定了詳細的工作(zuò)及學習計(jì)劃,開(kāi)啓了奮鬥模式。
1、了解網絡安全形勢
這一研究,小(xiǎo)白吓了一跳(tiào),過去的一年裏,從ATT&CK模型框架的興起到實戰化攻防環境的建立,從反序列化漏洞的攻防博弈到VPN漏洞的異軍突起,從不斷APT化發展的勒索攻擊到廣撒網的挖礦活動,從不斷受地緣政治影(yǐng)響的APT攻擊到新冠疫情引發的花(huā)式攻擊,從MaaS模式的逐漸成熟到惡意軟件家(jiā)族間(jiān)“合作(zuò)”案例的逐漸增多(duō)……
參考資料《啓明(míng)星辰網絡安全态勢觀察報告》
2019-2020年流行(xíng)漏洞TOP10
2020年上(shàng)半年,我國捕獲計(jì)算(suàn)機惡意程序樣本數(shù)量約1815萬個(gè),日均傳播次數(shù)達483萬餘次,涉及計(jì)算(suàn)機惡意程序家(jiā)族約1.1萬餘個(gè)。我國境內(nèi)受計(jì)算(suàn)機惡意程序攻擊的IP地址約4208萬個(gè),約占我國IP總數(shù)的12.4%,感染計(jì)算(suàn)機惡意程序的主機數(shù)量約304萬台,同比增長25.7%。層出不窮的網絡安全事件時(shí)刻提醒着我們越來(lái)越嚴峻的網絡安全态勢。
數(shù)據來(lái)源:《2020年上(shàng)半年我國互聯網網絡安全監測數(shù)據分析報告》
2、學習各類安全設備功能及特色
了解了眼下嚴峻的網絡安全形勢,小(xiǎo)白又對常用安全設備進行(xíng)了深入研究,充分了解其功能及部署方式:
防火(huǒ)牆(FW): 主要用于兩個(gè)網絡之間(jiān)做(zuò)邊界防護,企業中更多(duō)使用的是企業內(nèi)網與互聯網的NAT、包過濾規則、端口映射等功能。其抵禦的是外部的攻擊,對內(nèi)部的病毒 (如ARP病毒) 或攻擊作(zuò)用不大(dà)。多(duō)采用網關模式部署,可(kě)替代路由器(qì)并提供更多(duō)的功能。
入侵防禦 (IPS):一般都具有(yǒu)防火(huǒ)牆的功能,對網絡攻擊的防禦更具有(yǒu)針對性,其可(kě)對數(shù)據包進行(xíng)檢測,對蠕蟲、病毒、木馬、拒絕服務等攻擊進行(xíng)查殺。(防火(huǒ)牆允許符合規則的數(shù)據包進行(xíng)傳輸,對數(shù)據包中是否有(yǒu)病毒代碼或攻擊代碼并不進行(xíng)檢查,而入侵防禦則通(tōng)過更深的對數(shù)據包的檢查)。部署方式同防火(huǒ)牆。
入侵檢測(IDS):通(tōng)過對計(jì)算(suàn)機網絡及系統中若幹關鍵點收集信息并對其進行(xíng)分析,從中發現網絡或系統中是否有(yǒu)違反安全策略的行(xíng)為(wèi)和(hé)被攻擊的迹象。采用旁路部署模式,通(tōng)過在核心交換機上(shàng)設置鏡像口,将鏡像數(shù)據發送到入侵檢測設備。
上(shàng)網行(xíng)為(wèi)管理(lǐ):對上(shàng)網用戶進行(xíng)流量管理(lǐ)、上(shàng)網行(xíng)為(wèi)日志(zhì)進行(xíng)審計(jì)、對應用軟件或站(zhàn)點進行(xíng)阻止或流量限制(zhì)等。多(duō)采用透明(míng)模式部署,将設備部署在網關與核心交換之間(jiān),對上(shàng)網數(shù)據進行(xíng)管理(lǐ)。
漏洞掃描系統:基于漏洞數(shù)據庫,通(tōng)過掃描等手段對指定的遠程或者本地計(jì)算(suàn)機系統的安全脆弱性進行(xíng)檢測,發現可(kě)利用的漏洞的一種安全檢測(滲透攻擊)行(xíng)為(wèi),其還(hái)可(kě)以生(shēng)成相關報告,提供漏洞修複意見等。
運維安全審計(jì):為(wèi)了保障網絡和(hé)數(shù)據不受來(lái)自內(nèi)部合法用戶的不合規操作(zuò)帶來(lái)的系統損壞和(hé)數(shù)據洩露,而運用各種技(jì)術(shù)手段實時(shí)收集和(hé)監控網絡環境中每一個(gè)組成部分的系統狀态、安全事件、網絡活動,以便集中報警、記錄、分析、處理(lǐ)的一種技(jì)術(shù)手段,可(kě)對事後處理(lǐ)提供有(yǒu)利證據。旁路模式部署。使用防火(huǒ)牆對服務器(qì)訪問權限進行(xíng)限制(zhì),隻能通(tōng)過堡壘機對網絡設備/服務器(qì)/數(shù)據庫等系統操作(zuò)。
安全隔離網閘:一種由帶有(yǒu)多(duō)種控制(zhì)功能專用硬件在電(diàn)路上(shàng)切斷網絡之間(jiān)的鏈路層連接,并能夠在網絡間(jiān)進行(xíng)安全适度的應用數(shù)據交換的網絡安全設備。(防火(huǒ)一般在兩套網絡之間(jiān)做(zuò)邏輯隔離,而網閘可(kě)以做(zuò)物理(lǐ)隔離)。常部署于內(nèi)外網之間(jiān)。
網絡安全審計(jì):針對互聯網行(xíng)為(wèi)提供有(yǒu)效的行(xíng)為(wèi)審計(jì)、內(nèi)容審計(jì)、行(xíng)為(wèi)報警、行(xíng)為(wèi)控制(zhì)及相關審計(jì)功能。滿足用戶對互聯網行(xíng)為(wèi)審計(jì)備案及安全保護措施的要求,提供完整的上(shàng)網記錄,便于信息追蹤、系統安全管理(lǐ)和(hé)風險防範。采用旁路部署模式,通(tōng)過在核心交換機上(shàng)設置鏡像口,将鏡像數(shù)據發送到審計(jì)設備。
數(shù)據庫安全審計(jì):數(shù)據庫安全審計(jì)系統主要用于監視(shì)并記錄對數(shù)據庫服務器(qì)的各類操作(zuò)行(xíng)為(wèi)。可(kě)精确到每一條SQL命令,并有(yǒu)強大(dà)的報表功能。采用旁路部署模式,通(tōng)過在核心交換機上(shàng)設置鏡像口,将鏡像數(shù)據發送到審計(jì)設備。
日志(zhì)審計(jì):通(tōng)過對網絡設備、安全設備、主機和(hé)應用系統日志(zhì)進行(xíng)全面的标準化處理(lǐ),及時(shí)發現各種安全威脅、異常行(xíng)為(wèi)事件,為(wèi)管理(lǐ)人(rén)員提供全局的視(shì)角,确保客戶業務的不間(jiān)斷運營安全。旁路模式部署。通(tōng)常由設備發送日志(zhì)到審計(jì)設備, 或在服務器(qì)中安裝代理(lǐ),由代理(lǐ)發送日志(zhì)到審計(jì)設備。
WEB應用防護系統(WAF):WAF的防護對象是網站(zhàn)及B/S結構的各類系統,針對HTTP/HTTPS協議進行(xíng)分析,對SQL注入攻擊、XSS攻擊、Web攻擊進行(xíng)防護,通(tōng)常部署在web應用服務器(qì)前進行(xíng)防護。
參考資料:《e安在線》
3、起草調查報告及建議書(shū)
通(tōng)過對勒索病毒攻擊事件的反思,小(xiǎo)白起草了本次事件的彙報文件,詳細闡述了事件過程、處理(lǐ)結果、造成的損失以及暴露出來(lái)公司網絡安全意識薄弱,安全設備缺乏,無應急處理(lǐ)預案等問題。同時(shí)根據自己近段時(shí)間(jiān)的學習成果,針對公司所面臨的問題提出了建議。
4、起草各類網絡安全方面規章制(zhì)度
在主管領導的授意下,小(xiǎo)白根據現行(xíng)法律及規章制(zhì)度要求,結合公司實際情況,起草了包括《信息安全工作(zuò)總體(tǐ)方針和(hé)安全策略》、《網絡安全保護管理(lǐ)制(zhì)度》、《網絡安全應急處理(lǐ)預案》、《網絡安全保密制(zhì)度》、《信息資産管理(lǐ)制(zhì)度》、《數(shù)據安全及備份恢複管理(lǐ)制(zhì)度》、《機房(fáng)管理(lǐ)制(zhì)度》等在內(nèi)的一系列管理(lǐ)制(zhì)度,經過仔細修訂後,交予行(xíng)政部審批。
第五章 尾聲
不久,小(xiǎo)白起草的網絡安全方面的規章制(zhì)度通(tōng)過行(xíng)政部審核,下發全集團執行(xíng)。同時(shí),小(xiǎo)白提交的調查報告及建議書(shū)得(de)到公司管理(lǐ)層的高(gāo)度重視(shì),安排信息部門(mén)會(huì)同A公司制(zhì)定詳細的網絡升級改造及安全防護方案并予以實施。
一個(gè)多(duō)月後,防護和(hé)審計(jì)等網絡安全設備全部上(shàng)架調試完畢,正式投入使用。
小(xiǎo)白按照機房(fáng)管理(lǐ)制(zhì)度嚴格執行(xíng)着日常巡檢工作(zuò),與之前不同的是,小(xiǎo)白前往機房(fáng)的腳步因為(wèi)內(nèi)心的從容與自信而變的堅實、穩定……