-
1 情景案例
-
2 项目分析
某科研机构员工被社工攻击,致现场多台服务器失陷应急事件
2022年4月,奇安信应急响应团队接到客户请求,客户内网服务器出现横向扫描现象,希望对该情况进行排查溯源。应急人员到达客户现场,对多台受害机器日志进行排查,定位到首台对内网发起扫描的终端A(x.x.71.184)。查看现场终端防护软件日志发现,事发当天存在多条终端A(x.x.71.184)访问木马文件被禁止的记录,并且事发当天10:25,终端A(x.x.71.184)使用者曾手动将木马文件加入白名单。随后应急人员与终端A(x.x.71.184)使用者沟通了解到,日志记录中访问的木马文件为一名自称“某企业HR”的人员通过微信发送,因被终端防护软件拦截,故终端A(x.x.71.184)使用者手动将此文件加入了白名单。
经过一系列分析,应急人员确认本次安全事件是由于客户员工安全意识薄弱,误点击攻击者发送的钓鱼文件,并且客户内网大量机器开放SSH端口且使用弱口令,最终导致攻击者利用内网横向扫描暴破,成功获取客户内网60+台服务器、30+台打印机、10+台数据库及1台终端的权限。
防护建议
加强人员安全意识培养,对意外收到的或来自未知发件人的电子邮件或文件,不要按照文字中的说明进行操作,不要打开任何附件,也不要点击任何链接;
系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
建议部署全流量监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口。
案例链接:https://blog.csdn.net/glb111/article/details/130021065
网络安全你、我、他
系统日志啊,就像是电脑的“小本本”,啥都往上记,干了啥、出啥问题了、谁动了它都记得一清二楚。这个很重要,因为它能帮我们发现潜在危险,追踪黑客,还能检查我们是不是按规矩办事。
那咋安全地配置它呢?首先,得挑个合适的“记笔记”详细程度,别啥都记,也别漏了重要的。然后,得把“小本本”藏好,别让人随便看或改。加密是个好办法,能保护敏感信息。最后,还得把各个“小本本”都收起来,方便我们统一查看和分析。
管理和分析日志也很重要。得用专门的工具去“捞”日志,就像用网兜捞鱼一样,然后筛选出重要的日志,仔细分析,找出问题。发现问题了,得赶紧处理,别让事态扩大。同时,也得总结经验,下次做得更好。
还有啊,多参加网络安全培训,了解最新的威胁和防御方法。干这行的时候,得遵守法律法规。大家都得重视网络安全,一起努力保护我们的网络家园。这样一来,我们在系统日志安全配置和管理方面的能力就能大大提升啦!
