深入分析:导致数据泄漏的10种常见原因解密!
NO.1 互联网未知资产/服务大量存在
在攻防演练中,资产的控制权和所有权始终是攻防双方的争夺焦点。互联网暴露面作为流量的入口,是攻击方重要的攻击对象。
资产不清是很多政企单位面临的现状。数字化转型带来的互联网暴露面不断扩大,政企机构资产范围不断外延。除了看得到的“冰面资产”之外,还有大量的冰面之下的资产,包括无主资产、灰色资产、僵尸资产等。
在实战攻防演练中,一些单位存在“年久失修、无开发维护保障”的老/旧/僵尸系统,因为清理不及时,容易成为攻击者的跳板,构成严重的安全隐患。
NO.2 网络及子网内部安全域之间隔离措施不到位
网络内部的隔离措施是考验企业网络安全防护能力的重要环节。由于很多机构没有严格的访问控制(ACL)策略,在DMZ和办公网之间不做或很少有网络隔离,办公网和互联网相通,网络区域划分不严格,可以直接使远程控制程序上线,令攻击方可以很轻易地实现跨区攻击。
大中型政企机构还存在“一张网”的情况,习惯于使用单独架设专用网络,来打通各地区之间的内部网络连接,不同区域内网间也缺乏必要的隔离管控措施,缺乏足够有效的网络访问控制。这就导致蓝队一旦突破了子公司或分公司的防线,便可以通过内网进行横向渗透,直接攻击到集团总部,或是漫游整个企业内网,进而攻击任意系统。
NO.3 互联网应用系统常规漏洞过多
在历年的实战攻防演练期间,已知应用系统漏洞、中间件漏洞以及因配置问题产生的常规漏洞,是攻击方发现的明显问题和主要攻击渠道。
通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。
Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、CoreMail漏洞、XXE漏洞来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。
NO.4 互联网敏感信息泄漏明显
网络拓扑、用户信息、登录凭证等敏感信息在互联网大量泄漏 , 成为攻击方突破点。针对暗网的调查发现,与政企机构网络登录凭证等相关信息的交易正在蓬勃发展。
2019 年第四季度,暗网市场网络凭证数据的交易数量开始有所上升,出售的数量就相当于 2018 年全年的总和。2020年第一季度,暗网市场销售的网络登录的帖子数量比上一季度猛增了 69%。暗网出售的网络登录凭据涉及政府机构、医疗机构以及其他社会组织。
实际上,2020 年是有记录以来数据泄漏最糟糕的一年。根据Canalys的最新报告“网络安全的下一步”, 2020年短短12个月内泄漏的记录比过去15年的总和还多。大量互联网敏感数据泄漏,为攻击者进入内部网络和开展攻击提供了便利。
NO.5 边界设备成为进入内网的缺口
互联网出口和应用都是攻入内部网络的入口和途径。目前政企机构的接入防护措施良莠不齐,给蓝队创造了大量的机会。针对 VPN 系统等开放于互联网边界的设备或系统,为了避免影响到员工使用,很多政企机构都没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,蓝队可以通过这些系统突破边界直接进入内部网络中来。
此外,防火墙作为重要的网络层访问控制设备,随着网络架构与业务的增长与变化,安全策略非常容易混乱,甚至一些政企机构为了解决可用性问题,出现了“any to any”的策略。防守单位很难在短时间内梳理和配置几十个应用、上千个端口的精细化访问控制策略。缺乏访问控制策略的防火墙,就如同敞开的大门,安全域边界防护形同虚设。
NO.6 内网管理设备成为扩大战果突破点
主机承载着政企机构关键业务应用,需重点关注、重点防护。但很多机构的内部网络的防御机制脆弱,在实战攻防演练期间,经常发现早已披露的陈年漏洞未修复,特别是内部网络主机、服务器以及相关应用服务补丁修复不及时,成为蓝队利用的重要途径,从而顺利 拿下内部网络服务器及数据库权限。
集权类系统成为攻击的主要目标。在攻防演练过程中,云管理平台、核心网络设备、堡垒机、SOC 平台、VPN 等集权系统,由于缺乏定期的维护升级,已经成为扩大权限的突破点。集权类系统一旦被突破,整个内部的应用和系统基本全部突破,可以实现以点打面,掌握对其所属管辖范围内的所有主机控制权。
NO.7 安全设备自身安全成为新的风险点
安全设备作为政企机构对抗攻击者的重要工具,其安全性应该相对较高。但实际上安全产品自身也无法避免 0Day 攻击,安全设备自身安全成为新的风险点。每年攻防演练都会爆出某某安全设备自身存在某某漏洞被利用、被控制,反映出安全设备厂商自身安全开发和检测能力没有做到位,给蓝队留下了“后门”,形成新的风险点。
2020 年实战攻防演练中的一大特点是,安全产品的漏洞挖掘和利用现象非常普遍,多家企业的多款安全产品被挖掘出新漏洞(0day 漏洞)或存在高危漏洞。
历年攻防实战演练中,被发现和利用的各类安全产品 0Day 漏洞,主要涉及安全网关、身份与访问管理、安全管理、终端安全等类型安全产品。这些安全产品的漏洞一旦被利用,可以使蓝队突破网络边界,获取控制权限进入网络;获取用户账户信息,并快速拿下相关设备和网络的控制权限。
近两三年,出现了多起VPN、堡垒机、终端管理等重要安全设备被蓝队利用重大漏洞突破的案例,这些安全设备被攻陷,直接造成网络边界防护失效、大量管理权限被控制。
NO.8 供应链攻击成为攻击方的重要突破口
在攻防演练过程中,随着防守方对攻击行为的监测、发现和溯源能力大幅增强,攻击队开始更多地转向供应链攻击等新型作战策略。蓝队会从IT(设备及软件)服务商、安全服务商、办公及生产服务商等供应链机构入手,寻找软件、设备及系统漏洞,发现人员及管理薄弱点并实施攻击。
常见的系统突破口包括:邮件系统、OA系统、安全设备、社交软件等;常见的突破方式包括软件漏洞,管理员弱口令等。
由于攻击对象范围广、攻击方式隐蔽,供应链攻成为攻击方的重要突破口,给政企安全防护带来了极大的挑战。从奇安信在 2021 年承接的实战攻防演练情况来看,由于供应链管控弱,软件外包、外部服务提供商等成为迂回攻击的重要通道。
NO.9 员工安全意识淡薄是攻击的突破口
利用人员安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗,是攻击方经常使用的手法。
钓鱼邮件是最经常被使用的攻击手法之一。即便是安全意识较强的 IT 人员或管理员,也很容易被诱骗点开邮件中钓鱼链接或木马附件,进而导致关键终端被控,甚至整个网络沦陷。在历年攻防演练过程中,攻击队通过邮件钓鱼等方式攻击 IT 运维人员办公用机并获取数据及内网权限的案例数不胜数。
NO.10 内网安全检测能力不足
攻防演练中, 攻击方攻击测试,对防守方的检测能力要求更高。网络安全监控设备的部署、网络安全态势感知平台的建设,是实现安全可视化、安全可控的基础。部分企业采购部署了相关工具,但是每秒上千条报警,很难从中甄别出实际攻击事件。
此外,部分老旧的防护设备,策略配置混乱,安全防护依靠这些系统发挥中坚力量,势必力不从心。流量监测及主机监控工具缺失,仅依靠传统防护设备的告警去判断攻击、甚至依靠人工去翻阅海量的日志,导致“巧妇难为无米之炊”。
更重要的是,精于内部网络隐蔽渗透的攻击方,在内部网络进行非常谨慎而隐蔽的横向移动,很难被流量监测设备或态势感知系统检测。
03 保障数据不被泄漏的8个常用策略
企业内部的数据泄漏,究其原因,总结起来大致就以上这10种。对于企业或机构(红队:防守方)而言,如何做好防守以保证自己的数据不被泄漏呢,奇安信的这本《红蓝攻防》里也给出了8个常用策略。
NO.1 信息清理:互联网敏感信息
攻击队会采用社工、工具等多种技术手段,对目标单位可能暴露在互联网上的敏感信息进行搜集,为后期攻击做充分准备。
防守队除了定期对全员进行安全意识培训,不准将带有敏感信息的文件上传至公共信息平台外,针对漏网之鱼还可以通过定期开展敏感信息泄漏搜集服务,能够及时发现在互联网上已暴露的本单位敏感信息,提前采取应对措施,降低本单位敏感信息暴露的风险,增加攻击队搜集敏感信息的时间成本,为后续攻击抬高难度。
NO.2 收缩战线:缩小攻击暴露面
攻击队首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。此外,攻击队往往不会正面攻击防护较好的系统,而是找一些可能连防守者自己都不知道的薄弱环节下手。
这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击队“声东击西”,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛互联网暴露面。
攻击路径梳理
互联网攻击面收敛
外部接入网络梳理
隐蔽入口梳理
NO.3 纵深防御:立体防渗透
收缩战线工作完成后,针对实战攻击,防守队应对自身安全状态开展全面体检,此时可结合战争中的纵深防御理论来审视当前网络安全防护能力。
从互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、供应链安全甚至物理层近源攻击的防护,都需要考虑进去。通过层层防护,尽量拖慢攻击队扩大战果的时间,将损失降至最小。
资产动态梳理
互联网端防护
访问策略梳理
主机加固防护
供应链安全
NO.4 守护核心:找到关键点
正式防守工作中,根据系统的重要性划分出防守工作重点,找到关键点,集中力量进行防守。
根据实战攻防经验,核心关键点一般包括:靶标系统、集权类系统、具有重要数据的业务系统等,在防守前应针对这些重点系统再次进行梳理和整改,梳理得越细越好。必要情况下对这些系统进行单独的评估,充分检验重点核心系统的安全性。同时在正式防守工作,对重点系统的流量、日志进行实时监控和分析。
靶标系统
集权系统
重要业务系统
NO.5 协同作战:体系化支撑
面对大规模有组织的攻击时,攻击手段会不断快速变化升级,防守队在现场人员能力无法应对攻击的情况下,还应该借助后端技术资源,相互配合协同作战,建立体系化支撑,才能有效应对防守工作中面临的各种挑战。
产品应急支撑
安全事件应急支撑
情报支撑
样本数据分析支撑
追踪溯源支撑
NO.6 主动防御:全方位监控
近两年的红蓝对抗,攻击队的手段越来越隐蔽,越来越单刀直入,通过0day、Nday直指系统漏洞,直接获得系统控制权限。
红队需拥有完整的系统隔离手段,蓝队成功攻击到内网之后,会对内网进行横向渗透。所以系统与系统之间的隔离,就显得尤为重要。红队必须清楚哪些系统之间有关联、访问控制措施是什么。在发生攻击事件后,应当立即评估受害系统范围和关联的其他系统,并及时做出应对的访问控制策略,防止内部持续的横向渗透。
任何攻击都会留下痕迹。攻击队会尽量隐藏痕迹、防止被发现。而防守者恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器,总结多年实战经验,有效的安全监控体系需在如下几方面开展:
自动化的IP封禁
全流量网络监控
主机监控
日志监控
蜜罐诱捕
情报工作支撑
NO.7 应急处突:完备的方案
通过近几年的红蓝对抗发展来看,红蓝对抗初期,蓝队成员通过普通攻击的方式,不使用0day或其他攻击方式,就能轻松突破红队的防守阵地。
但是,随着时间的推移,红队防护体系早已从只有防火墙做访问控制,发展到现在逐步完善了WAF、IPS、IDS、EDR等多种防护设备,使蓝队难以突破,从而逼迫蓝队成员通过使用0day、Nday、现场社工、钓鱼等多种方式入侵红队目标,呈无法预估的特点。
所以应急处突是近两年红蓝对抗中发展的趋势,同时也是整个红队防守水平的体现之处,不仅考验应急处置人员的技术能力,更检验多部门(单位)协同能力,所以制定应急预案应当从以下几个方面进行:
完善各级组织结构,如监测组、研判组、应急处置组(网络小组、系统运维小组、应用开发小组、数据库小组)、协调组等。
明确各方人员,在各个组内担任的职责,如监测组的监测人员,负责某台设备的监测,并且7×12小时不得离岗等。
明确各方设备的能力与作用,如防护类设备、流量类设备、主机检测类设备等。
制定可能出现的攻击成功场景,如Web攻击成功场景、反序列化攻击成功场景、Webshell上传成功场景等。
明确突发事件的处置流程,将攻击场景规划至不同的处置流程:上机查证类处置流程、非上机查证类处置流程等。
NO.8 溯源反制:人才是关键
溯源工作一直是安全的重要组成部分,无论在平常的运维工作,还是红蓝对抗的特殊时期,在发生安全事件后,能有效防止被再次入侵的有效手段,就是溯源工作。
在红蓝对抗的特殊时期,防守队中一定要有经验丰富、思路清晰的溯源人员,能够第一时间进行应急响应,按照应急预案分工,快速理清入侵过程,并及时调整防护策略,防止再次入侵,同时也为反制人员提供溯源到的真实IP,进行反制工作。
反制工作是红队反渗透能力的体现,普通的防守队员一般也只具备监测、分析、研判的能力,缺少反渗透的实力。这将使防守队一直属于被动的一方,因为红队没有可反制的固定目标,也很难从成千上万的攻击IP里,确定哪些可能是攻击队的地址,这就要求红队中要有经验丰富的反渗透的人员。
经验丰富的反渗透人员会通过告警日志,分析攻击IP、攻击手法等内容,对攻击IP进行端口扫描、IP反查域名、威胁情报等信息收集类工作,通过收集到的信息进行反渗透。红队还可通过效仿蓝队社工手段,诱导蓝队进入诱捕陷阱,从而达到反制的目的,定位蓝队自然人身份信息。
道高一尺,魔高一丈,网络攻防是没有硝烟和终局的战争,要保障信息的安全,我们应该时刻保持警惕,从策略、技术、人才等各方面做好准备。
企业如何加强网络防护,提升数据存储安全防泄密的具体措施有哪些?
大势至电脑文件防泄密软件(下载地址: www.dashizhi.com/products_technology/products/13.html" style="border: 0px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-variant-numeric: normal; font-variant-east-asian: normal; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: 21px; font-family: "Microsoft YaHei"; vertical-align: baseline; color: rgb(0, 0, 238); text-decoration-line: underline; cursor: pointer; widows: 1;">https://www.dashizhi.com/products_technology/products/13.html)是一款专业的数据防泄密软件,可以灵活控制USB存储设备、禁止U盘使用、禁止网盘上传文件、禁止聊天软件发送文件、禁止邮件附件发送文件、禁止FTP文件上传等,防止通过各种途径将电脑文件泄漏出去。
大势至电脑文件防泄密系统是一款保护电脑文件安全、严防企业商业机密外泄的软件产品。系统主要从三个维度进行管理,即USB存储设备控制、上网行为控制、操作系统控制,从而构建立体化、全方位信息安全防护平台。大势至电脑文件防泄密系统可以禁止一切USB存储设备连接电脑拷贝资料,不控制鼠标、键盘、U盾等USB非存储设备,还可以灵活管控光驱、软驱、红外、蓝牙、随身wifi、聊天软件、网盘、邮箱、注册表、应用程序、网卡、随身wifi等多项功能。大势至电脑文件防泄密系统安装和操作十分简单快捷,各项功能划分精细齐全,控制精准有效,目前已成功应用百万终端,积累了丰厚的行业经验。系统分为两个版本,即单机版和网络版,单机版逐一管理,网络版有管理端,可以统一管理。
1、大势至电脑文件加密软件的功能
1)泄密途径的全面控制:常见的泄密途径包括U盘拷贝、QQ等聊天工具的剪贴及文件传输、webmail发邮件、打印、截屏工具的使用等。U盘拷贝、QQ传文件及webmail的文件发送在加密软件得到运用后,传输的应该都是密文,如果经过测试(将文件传输到未装加密软件的电脑,显示为密文)后功能正常,则应该重点考察通过剪贴板能否拷贝、通过屏幕拷贝(一种是使用Windows快捷键PrtScr或者ALT+PrtScr,另一种是使用一些可以捕捉屏幕的软件,比如QQ等)显示是否是密文、是否禁止打印等。此外,针对OLE插入、拖拽、文件修改进程名等较少用的泄密方法也要进行测试。如果泄密途径无法得到有效控制,信息安全就无从谈起。
2)文件权限的灵活管理:为了提高文件的安全,大势至电脑文件加密软件同时具有文件的权限管理功能,即在企业内部,各个部门之前的文件可以有选择的进行流通,这样,可以防止机密信息在企业内部之间的扩散。同时还可以独家实现不解密而单独打开加密软件的功能,阅读后自动“返回”到加密文件里面;同时还可以实现对解密文件的二次访问权限控制功能,独家实现只让读取解密文件而禁止复制解密文件、只让修改解密文件而禁止删除解密文件以及只让打开解密文件而禁止另存为、打印或拖拽解密文件的行为,极大地保护了解密后文件的安全。
3)重要文档的自动备份:大势至电脑文件加密软件可以实时、自动备份重要的电脑文件,有效地防止重要文档被人为破坏或恶意删除。
4)电脑文件操作的记录的功能:本系统可以对文件打开、复制、拷入拷出、解密、备份的情况进行记录,并可以形成详细的文件操作访问日志。因为技术不可能解决100%的泄密问题,这样可以做到事后有迹可查,可第一时间作出有效措施,减少损失。
5)文件离线的管理:本系统在员工短期办公或外出出差、出差天数变更时能提供方便、安全的解决方案,发挥加密软件的最大效用。
6)电脑文件外发/解密的管理:本系统对外部门因工作需要将公司内部文档进行外发时,具有安全的外发方案:外发/解密得到授权并保存记录、最好能控制外发文件的阅读次数及有效阅读期以防止二次扩散。
7)企业的特殊需求:大势至研发团队可以根据用户的需要随时定制开发各种电脑文件防泄漏、电脑文件加密功能,最大限度满足用户个性化的电脑文件安全管理需要。
2、大势至电脑文件加密领先优势如下
1)强大的防脱机加密方式,只要文件被加密过,即便转移到其他存储设备上也会依然保持加密状态。
2)如果不希望重要的文件夹被发现,使用本系统的超强深度隐藏功能,即可瞬间隐藏整个文件夹。
3)对于本系统的管理员账户,访问加密文件夹无需输入任何密码,深度隐藏的文件也可以顺利发现。
4)软件本身具备强大的自我保护功能,防止删除、病毒干扰,防破解。
5)军工级别的加密算法,确保文件夹被严格加密,目前技术条件下没有任何办法可以破解。
6)软件设置简单、应用简便,新手也可以在短时间内尽快上手。
7)本加密软件适用于电脑加密文件夹/万能文件加密/移动硬盘加密/U盘深度加密/各类文档设计方案加密。
8)独家实现不解密查看加密文件的功能,并且用户查看后无需再次进行加密,方便了用户的读取和使用,又保护了加密文件的安全。
9)独家实现对解密后的文件访问权限控制功能,可以只让读取解密后的文件而禁止复制内容、只让修改解密后的文件而禁止删除、只让打开解密后的文件而禁止另存为本地磁盘,同时还可以防止拖拽、打印解密文件的行为。
10)独家实现对加密、解密文件的防泄漏功能,可以严防通过U盘、移动硬盘等USB存储设备和通过邮件、网盘、FTP文件上传以及聊天软件发送文件的方式将电脑文件泄漏出去,从而实现了对电脑文件安全的二次防护。
总之,大势至电脑文件加密系统是当前国内首家的专业电脑文件防泄密和电脑文件加密相结合的文件安全管理软件,通过对电脑文件泄密管道和电脑文件高强度、不可逆向的加密技术,使得大势至电脑文件加密系统可以最大限度地保护电脑文件安全,保护单位无形资产和商业机密的安全。
同时,大势至公司研发团队也会密切关注用户的需要,并可以为用户定制开发各种个性化的电脑文件防泄密、电脑文件加密功能,从而可以确保用户可以实现真正有效的电脑文件保护的目的,为单位创造良好的管理收益和经济效益。
