一、外部事件
外部事件指的是由外部攻击引发的安全事件,外部攻击的目的有以下几点:
1、白帽子的安全测试
一般白帽子为了提高自己的技术或者在漏洞平台上获取积分会在未授权的情况下对系统进行漏洞测试,甚至进行内网漫游。白帽子的测试只是证明漏洞的存在一般不会破坏系统。
2、黑客的肉机
黑客攻击系统可能是为了获取肉机,获取肉鸡以后就能成为攻击其他系统的跳板机或者用肉鸡发起DDOS。
3、黑客获取数据
获取企业数据是黑客攻击系统的主要原因之一,用户数据可以在暗网上进行交易,可以为黑客带来巨大的利用。
4、黑客植入挖矿或者勒索病毒
近些年来挖矿病毒和勒索病毒肆无忌惮,样式也五花八门,主要原因是可以获取巨大的利益,与获取数据不同,部署挖空病毒和勒索病毒是一本万利的,成功率也极高。
5、ddos攻击
ddos攻击分为勒索性ddos攻击和竞争对手恶意ddos攻击,攻击成本小,效果明显。
外部攻击的主要攻击方式有以下几种:
1、业务应用攻击方法
业务应用一般有web应用、APP、客户端、微信小程序、公众号。
常见的攻击方法有sql注入、XSS、XXE、SSRF、代码执行、命令执行、文件泄露、业务弱口令、业务逻辑漏洞、框架漏洞等
对应APP和客户端还可以进行反编译获取获取敏感信息等。
一般攻击思路:信息收集 --> 漏洞利用 --> 获取shell --> 提升权限 –> 内网横向渗透
2、系统服务攻击
不管是linux还是windows都高危漏洞,攻击者可以利用这些漏洞直接或者间接获取系统权限,如远程登录爆破、ms-17010、脏牛漏洞等
3、应用组件攻击
应用组件漏洞也是黑客主要攻击的方法,如应用组件未授权、弱口令、Tomcat任意文件上传、weblogic命令执行、IIS解析漏洞、apche解析漏洞等
4、社工和钓鱼
钓鱼和社工主要是针对IT管理员、客服、内网用户。通过社工获取一些进一步渗透的重要信息,通过钓鱼可以直接控制内部用户的电脑、部署勒索病毒或者挖矿病毒。
二、内部事件
1、内部员工泄密事件
有意信息泄露:内部员工为了自己的利益,利用自己工作之便内外勾结倒卖公司机密数据
无意信息泄露:员工由于无意导致存储介质的丢失,重要文件上传网络等
2、内部员工恶意破坏事件
内部员工由于对公司不满可能利用工作权限对应用系统、数据进行篡改和破坏等
3、内部员工误操作事件
由于员工大意导致操作失误,如服务器宕机、数据被删、应用无法服务等
三、安全事件防范
1、外部安全事件防范
让攻击者进不来:
--> 外网资产梳理:要清除自己对外开放了那些IP和服务,避免非业务程序对外开放,如管理后台、中间件管理后台等,及时下掉废弃的系统
--> 端口:对外只开放业务必要端口,如只开放80 443端口
--> 敏感目录:对于web应该可能在部署时一些敏感目录和文件可被访问,如网站配置文件、.git、.svn、后台地址
--> CMS:基于CMS开发的网站及时打上厂商发布的的补丁,如果是开源CMS有能力可以进行代码审计
--> 口令:有登录的地方限制密码强度和登录次数策略,如验证码、登录次数限制,另外口令不要用一些可以被猜到的组合,攻击者会用手机到的网站信息进行密码组合
--> 加密:尽量用http或者敏感数据加密传输
--> app、客户端加固:对于app和客户端需要对程序自身进行加固,如做混淆,不要再程序里存储重要信息,重要信息进行强加密
--> 程序漏洞:这个只能进行漏洞扫描、渗透测试、代码审计,并且是一个持续性的工作
--> 系统漏洞:及时打上补丁
能发现攻击:
--> 安全监控设备,及时发现攻击、自动阻断攻击,无waf、IPS、FW、流量清洗等
--> 主机监控设备,对主机异常进行监控,如CPU、内存、可疑进程、可疑操作、可疑账号
进来了不扩散:
--> 划分安全域,对网络进行隔离,进行端口级的网络控制。
--> 重点设备重点保护
2、内部安全事件防范
员工安全意识:防病毒安全意识、防钓鱼安全意识、保密意识、安全操作意识
账号管理:统一登录、权限分配、权限回收、账号审计
终端管理:防病毒、补丁管理、入网准入
网络管理:安全隔离