网络安全之背锅侠是怎样炼成的
第一章 引子
近年来,随着网络的不断发展,网络安全越来越受到各行各业的关注。《网络安全法》的制定,推动了国民经济重点领域在信息安全方面的投入,等级保护2.0的到来,带来了合规建设新机遇。与此同时,用户数据和隐私安全事件频发,棱镜门、勒索病毒更是成为人们茶余饭后的谈资。借此机会,笔者以朋友小白的亲身经历,讲述一个我们身边的网络安全故事。
小白,就读于某交通大学计算机应用技术专业,天资聪慧,家境殷实,大学期间基本以打游戏谈恋爱为主业,弹得一手好吉他,日子过得怡然自得。然而转眼临近毕业,考虑到即将到来就业问题,小白有些捉急了,不得不鼓足劲头,临阵磨枪冲刺各种认证考试,一路过五关、斩六将,顺利拿到某软、某为认证,直到顺利拿到NISP一级证书,这才大松口气。
毕业后,小白顺利进入某集团公司网络信息部担任技术员。经过半年的学习,小白逐渐进入角色,安装配置各种路由器、防火墙信手沾来,各种系统的运维更是轻车熟路,各类计算机打印机等等之类的办公设备也能修上一修,更因为掌握了数据恢复的硬功夫深得部门女同事仰慕。因为公司职员众多,网络架构复杂,各类问题层出不穷,小白虽然忙的焦头烂额,但是熟能生巧,日常工作基本游刃有余,而且技术水平得到了很大的提高,甚至几个老同事也发现按照小白的指导开展工作会更有效率,在外人看来,已然一副工程师派头。
工作两年多后,公司因为业务发展及信息化应用需求,建设了标准化机房和私有云,同时引进部署了OA等集成办公系统,极大提高了公司工作效率。小白因为在工作期间表现突出,学习能力强,被集团任命为信息部副主任,主要负责机房设备的运维工作。机房设备及办公系统均为新购置,日常操作培训等有信息部其他同事负责,小白终于闲了下来,生活又恢复了大学时候的怡然自得,吉他终于又能弹起来了,偶尔还能吃吃鸡。每每与同事酒足饭饱之后,小白竟觉得路由表与琴弦的触感有极强的相似性…
第二章 飞来横祸(GUO)
就这样又过了一年,这天一大早,小白接到信息部同事的电话,反应某业务系统无法正常使用,小白急忙赶到公司,经过初步检查,故障是服务端无响应造成的,类似情况之前也有发生。
“重启一下服务器就好了”,小白一边想一边登入服务器后,看到桌面显示,小白瞬间懵(握)了(草)!
服务器所有文件均被改为不规则英文后缀,无法正常读取,试图打开文件后,会弹出窗口要求向指定地址支付比特币获得解密文件的密钥,小白按照症状搜索后得知,服务器这是中了勒索病毒!
为避免病毒扩散,小白紧急切断了服务器网络,又百度了解了 “勒索病毒”关键词。
原来勒索病毒早在2017年就已出现,曾袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、通信等多个行业,中国高校校园网及医疗系统网络也成为重灾区。受到感染后,勒索软件会将用户系统上所有的文档、数据库、源代码、图片、压缩文件等数据文件进行某种形式的加密操作,使之不可用。重点是感染勒索病毒后,即便缴纳赎金,文件也可能无法恢复。只能在把硬盘低格后,重新安装操作系统,也就意味着服务器上的数据要全完了!
了解完这些,小白急匆匆向主管领导办公室走去,然后详细汇报了当前情况以及可能产生的后果。
“小白,A科技公司前段时间不是来我们公司拜访过么,你尽快联系一下他们的工程师,描述一下我们遇到的问题,请他们提供解决方案,最好能派遣人员过来现场协助我们处理,一定要将损失降到最低,尽快恢复业务运行,其他部门我来协调。”主管领导安排道。
小白支支吾吾了好一会儿,原来A科技公司联系人的名片已经被他顺手丢掉了,还好主管领导有保存的电话号码,这次小白认真的记录了下来。
第三章 亡羊补牢,为时未晚
情况紧急,小白一分钟也不敢耽搁,第一时间与A公司工程师取得联系,详细介绍了所遇状况,A公司紧急响应,工程师在10分钟后便赶到了现场,首先切断了所有存有重要数据设备的网络,随后对其他服务器和设备进行检测,所幸未发现其他数据被加密的情况。
经过对中毒服务器仔细诊断,本次事件是攻击者通过RDP远程桌面弱口令枚举,暴力破解服务器密码,使用工具强制结束杀毒软件进程,手动上传勒索病毒软件,实施数据加密。
勒索病毒常用攻击手段一
勒索病毒常用攻击手段(小白公司遭遇的攻击形式)
考虑到数据恢复的复杂性及办公系统的紧迫需求,经请示部门领导同意,将中毒服务器硬盘低格后重新安装操作系统,重新搭建办公系统软件,导入异地备份的数据,同时对服务器进行了多方面的加固,包括:
安装补丁:WannaCry勒索病毒软件是攻击者通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击,利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010,微软已在2017年3月14日发布的MS17-010漏洞补丁,下载地址/Item/84.aspx。
修改远程桌面端口:远程桌面默认端口为3389,修改为其他端口可降低被暴力破解的可能性。
配置防火墙:开启防火墙,并为445、135、137、138、139等端口设置阻断连接的规则。
修改密码:被暴力破解服务器密码并成功投放勒索病毒的设备,设备管理员密码均为类似123abc的弱密码,很容易被破解,将设备管理密码设置为包含字母+数字+符号的强密码组合,同时多台设备避免使用同一密码,有效防止密码暴力破解。
安装杀毒软件:安装现阶段主流杀毒软件,配置杀毒软件关闭、卸载密码,防止恶意停止杀毒软件进程。
配置完这些,给服务器插上网线,办公系统终于重新投入使用,虽然近一周数据缺失,但公司业务终于恢复正常,损失尚在承受范围内。
随后,小白并未松懈,会同A公司工程师对所有服务器及办公电脑进行排查及加固。
排查工作直到第二天早上才结束,看到一台台设备重新正常运行,小白悬着的心终于落了下来,排查过程中,小白也没放过向A公司工程师学习的机会,虚心请教了网络安全管理的要点,心中对后续工作已经有了清晰的计划。
第四章 塞翁失马,焉知非福
经过此次事件,小白深刻了解到网络安全的重要性,也深刻理解了数据备份的重要性,一改往日的摸鱼状态,制定了详细的工作及学习计划,开启了奋斗模式。
1、了解网络安全形势
这一研究,小白吓了一跳,过去的一年里,从ATT&CK模型框架的兴起到实战化攻防环境的建立,从反序列化漏洞的攻防博弈到VPN漏洞的异军突起,从不断APT化发展的勒索攻击到广撒网的挖矿活动,从不断受地缘政治影响的APT攻击到新冠疫情引发的花式攻击,从MaaS模式的逐渐成熟到恶意软件家族间“合作”案例的逐渐增多……
参考资料《启明星辰网络安全态势观察报告》
2019-2020年流行漏洞TOP10
2020年上半年,我国捕获计算机恶意程序样本数量约1815万个,日均传播次数达483万余次,涉及计算机恶意程序家族约1.1万余个。我国境内受计算机恶意程序攻击的IP地址约4208万个,约占我国IP总数的12.4%,感染计算机恶意程序的主机数量约304万台,同比增长25.7%。层出不穷的网络安全事件时刻提醒着我们越来越严峻的网络安全态势。
数据来源:《2020年上半年我国互联网网络安全监测数据分析报告》
2、学习各类安全设备功能及特色
了解了眼下严峻的网络安全形势,小白又对常用安全设备进行了深入研究,充分了解其功能及部署方式:
防火墙(FW): 主要用于两个网络之间做边界防护,企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。其抵御的是外部的攻击,对内部的病毒 (如ARP病毒) 或攻击作用不大。多采用网关模式部署,可替代路由器并提供更多的功能。
入侵防御 (IPS):一般都具有防火墙的功能,对网络攻击的防御更具有针对性,其可对数据包进行检测,对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。(防火墙允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查,而入侵防御则通过更深的对数据包的检查)。部署方式同防火墙。
入侵检测(IDS):通过对计算机网络及系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到入侵检测设备。
上网行为管理:对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制等。多采用透明模式部署,将设备部署在网关与核心交换之间,对上网数据进行管理。
漏洞扫描系统:基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为,其还可以生成相关报告,提供漏洞修复意见等。
运维安全审计:为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段,可对事后处理提供有利证据。旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。
安全隔离网闸:一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。(防火一般在两套网络之间做逻辑隔离,而网闸可以做物理隔离)。常部署于内外网之间。
网络安全审计:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
数据库安全审计:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。可精确到每一条SQL命令,并有强大的报表功能。采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
日志审计:通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。旁路模式部署。通常由设备发送日志到审计设备, 或在服务器中安装代理,由代理发送日志到审计设备。
WEB应用防护系统(WAF):WAF的防护对象是网站及B/S结构的各类系统,针对HTTP/HTTPS协议进行分析,对SQL注入攻击、XSS攻击、Web攻击进行防护,通常部署在web应用服务器前进行防护。
参考资料:《e安在线》
3、起草调查报告及建议书
通过对勒索病毒攻击事件的反思,小白起草了本次事件的汇报文件,详细阐述了事件过程、处理结果、造成的损失以及暴露出来公司网络安全意识薄弱,安全设备缺乏,无应急处理预案等问题。同时根据自己近段时间的学习成果,针对公司所面临的问题提出了建议。
4、起草各类网络安全方面规章制度
在主管领导的授意下,小白根据现行法律及规章制度要求,结合公司实际情况,起草了包括《信息安全工作总体方针和安全策略》、《网络安全保护管理制度》、《网络安全应急处理预案》、《网络安全保密制度》、《信息资产管理制度》、《数据安全及备份恢复管理制度》、《机房管理制度》等在内的一系列管理制度,经过仔细修订后,交予行政部审批。
第五章 尾声
不久,小白起草的网络安全方面的规章制度通过行政部审核,下发全集团执行。同时,小白提交的调查报告及建议书得到公司管理层的高度重视,安排信息部门会同A公司制定详细的网络升级改造及安全防护方案并予以实施。
一个多月后,防护和审计等网络安全设备全部上架调试完毕,正式投入使用。
小白按照机房管理制度严格执行着日常巡检工作,与之前不同的是,小白前往机房的脚步因为内心的从容与自信而变的坚实、稳定……
