(节选一)中作者为我们详细介绍了案件整体情况,追踪了案件经过,这一节作者将与我们分享案件的取证分析方法,以及案件带来的反思。 安全技术角度出发,需要对各个点的证据链进行串联,采用检测逻辑和打击逻辑作为出发点,取证两步走,“检测逻辑”和“打击逻辑”分离,检测人员反馈可疑点给打击人员后进行进一步取证,双方不互通具体取证情况,避免先入为主的干扰发生。最后汇总,碰一下证据链,如有吻合基本可初步判断出入侵的动机、技术、过程等。 检测逻辑其实就是技术检测手段,包括安全设备报警、系统、网络流量,Web日志,主机木马、后门检测等。对黑客入侵行为大致分析,对入侵路径有初步的了解,掌握入侵的技术手段,发现系统自身的安全问题。 打击逻辑其实就是对非入侵技术的取证,倾向于对动机取证,案中事件多发生在12-14点,使用入侵的多个IP去与游戏登录IP进行碰撞,发现重合,再次对IP查找,并关联登录账号及与账号对应的MAC地址,如此账号篡改过游戏数据,则可锁定黑客入侵使用的计算机,且具有唯一性。 因黑客曾多次被公安机关抓获,他们熟知公安机关的追踪模式及套路,故使用反侦察手段,按照报案所需资料进行数据销毁掩盖入侵事实,造成即使有证可取也无法保障电子取证的有效性,所以通过检测逻辑取证法律效力不足,甚至不被认可,这种情况下打击逻辑就可作为辅证,甚至成为突破点。那么打击逻辑一般先从业务数据取证,对黑客类案件可由获利点取证,了解其获利渠道,比如淘宝、5173交易平台,再以社会工程学的方式,进一步确认黑客真实作案动机与案件发展。 此次安全事件对这家公司造成了较大的负面影响。造成损失的主要原因一方面是黑客在高额回报的诱惑下利用自身技术对服务器踩点测试入侵,另一方面公司运维人员在安全管理、全技术、意识上的缺乏导致系统漏洞暴露。 “敌暗我明”中,黑客具有很强的渗透与反追踪技术,关注各种信息系统漏洞,掌握各类入侵技术。受损公司则处于自身安全防护技术、管理问题上的劣势。如: 1、Web服务器与关键应用数据库同服务器,架构不安全,账号登陆无认证授权。 2、服务器操作系统存在安全漏洞,未进行补丁安装或临时加固,应用层未做访问控制策略,各类日志无异地备份。 3、服务器远程维护人员角色较多,共用账号密码,多台服务器使用相同的系统管理员账号和密码,一台服务器被攻破波及甚广。 4、从业人员对数据漠不关心,缺少核对机制,无安全监控预警、检测手段面对应急事件技术不足、经验缺乏。 针对外部入侵的改进措施应该围绕事前预防、事中监控、事后审计,保证信息系统安全的三要素。 1、系统方面系统,积极跟踪业界安全漏洞0Day、根据相关厂商的安全通告加固、安装补丁。登录采用3A或者4A方式,实名账号、口令使用双因素认证,按角色最小化权限原则授权,对各类操作进行记录。应用层做好访问控制,访问控制策略,落实到主机。专业安全人员定期对系统定期远程漏洞扫描,模拟黑客攻击、渗透测试。 2、数据库方面,Web服务器与数据库分离,数据库降权、分库后使用;数据库内敏感信息采用自有散列算法保存,禁止明文,单次散列保存。禁止应用与操作系统相同的管理密码;数据库禁用本地账号方式认证,对核心库表文件进行双库同步模式操作,定义高危操作指令,管理人员进行操作时实际先对备库进行操作,进行审核后,同步至生产库。 1、对系统进行可录像、可回放的操作审计;系统端口开放情况进行高频率的自动监测,对访问控制策略有效性、完整性进行实时验证;定义数据库高危操作,禁止进行修改生产数据库的高危操作。
2、对网络或主机历史流量进行横向和纵向维度进行数据分析,实时判断当前流量是否异常,如有异常立即进行阻断。 2、关键服务端程序进行代码级分拆,保留部分在服务器上,运行时需要到鉴权服务器获取另一半代码,才可运行。(再次感谢网络信息安全专家、湖北警官学院兼职教授李恩忠供稿。)
【美亚技术分享】推荐列表
1、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选一)
2、不变与改变——CEIC2015(计算机和企业调查大会)随记