CIA网攻中国11年,内网防护刻不容缓!
近日,网络安全公司360宣布,通过调查分析,发现美国中央情报局(CIA)的网络攻击组织“APT-C-39(由360命名)”对我国进行长达11年的网络攻击渗透。
在此期间,中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
攻击活动最早可以追溯到2008年9月,并一直持续至2019年6月左右,主要集中在北京、广东、浙江等省份。
APT ( Advanced Persistent Threat)是一种黑客攻击手段,主要的特点就是高级和持续,攻击手段很强,攻击对象一般是国家政府单位、政企高管、国家或者军事机密等;攻击时间极长,通常以年为单位,长期潜伏。中国是目前主要的受害国之一,境外被发现的 APT 间谍组织有三十多个。
有意思的是,此前一直是美国公司状告中国,中国公司很少对国外黑客组织采取同样的举动。这意味着我们对于美国这样非常高级的攻击者已具有了一定的防御溯源反制能力。
自信息化大潮肇始,网络攻击日益频繁,促使网络安全防护手段日趋完善,各大厂商、网站已经将外网防护做到了极致。目前,网络安全的短板在于内网。
内网承载了大量的核心资产和机密数据,例如企业的拓扑架构、运维管理的账号和密码、高层人员的电子邮件、企业的核心数据等。很多企业的外网一旦被攻击者突破,内网就成为任人宰割的“羔羊”,所以,内网安全防护始终是企业网络安全防护的一个痛点。
近年来,APT攻击亦成为最火爆的网络安全话题之一。只有熟悉内网渗透测试的方法和步骤,才能有的放矢地做好防御工作,最大程度地保障内网的安全。
敏感数据的防护
内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中。因此,了解攻击者的操作流程,对内网数据安全防护工作至关重要。
实际的网络环境中,攻击者主要通过各种恶意方法来定位公司内部各相关人员的机器,从而获得资料、数据、文件。定位的大致流程如下:
定位内部人事组织结构。
在内部人事组织结构中寻找需要监视的人员。
定位相关人员的机器。
监视相关人员存放文档的位置。
列出存放文档的服务器的目录。
重点核心业务机器及敏感信息防护
重点核心业务机器是攻击者比较关心的机器,因此,我们需要对这些机器采取相应的安全防护措施。
1.核心业务机器
高级管理人员、系统管理员、财务/人事/业务人员的个人计算机。
产品管理系统服务器。
办公系统服务器。
财务应用系统服务器。
核心产品源码服务器(IT公司通常会架设自己的SVN或者GIT服务器)。
数据库服务器。
文件服务器、共享服务器。
电子邮件服务器。
网络监控系统服务器。
其他服务器(分公司、工厂)。
2.敏感信息和敏感文件
站点源码备份文件、数据库备份文件等。
各类数据库的Web管理入口,例如phpMyAdmin、Adminer。
浏览器密码和浏览器Cookie。
其他用户会话、3389和ipc$ 连接记录、“回收站”中的信息等。
Windows无线密码。
网络内部的各种账号和密码,包括电子邮箱、VPN、FTP、TeamView等。
应用与文件形式信息的防护
在内网中,攻击者经常会进行基于应用与文件的信息收集,包括一些应用的配置文件、敏感文件、密码、远程连接、员工账号、电子邮箱等。
从总体来看,攻击者一是要了解已攻陷机器所属人员的职位(一个职位较高的人在内网中的权限通常较高,在他的计算机中会有很多重要的、敏感的个人或公司内部文件),二是要在机器中使用一些搜索命令来寻找自己需要的资料。
针对攻击者的此类行为,建议用户在内网中工作时,不要将特别重要的资料存储在公开的计算机中,在必要时应对Office文档进行加密且密码不能过于简单。
——好书推荐——
《内网安全攻防:渗透测试实战指南》
徐焱 贾晓璐 著内网渗透测试完全手册
本书由浅入深、全面、系统地介绍了内网攻击手段和防御方法,并力求语言通俗易懂、举例简单明了、便于读者阅读领会。同时结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的内网漏洞利用技术与内网渗透测试技巧。
热文推荐