内网渗透测试基础——敏感数据的防护
内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中。因此,了解攻击者的操作流程,对内网数据安全防护工作至关重要。
1.1 资料、数据、文件的定位流程
内网数据防护的第一步,就是要熟悉攻击者获取数据的流程。在实际的网络环境中,攻击者主要通过各种恶意方法定位公司内部各相关人员的机器,从而获得资料、数据、文件。定位的大致流程如下。
- 定位内部人事组织结构
- 在内部人事组织结构中寻找需要要监视的人员。
- 定位相关人员的机器。
- 监视相关人员存放文档的位置。
- 列出存放文档的服务器的目录。
1.2 重点核心业务机器及敏感信息防护
重点核心业务机器是攻击者比较关心的机器,因此,我们需要对这些机器采取相应的安全防护措施。
1. 核心业务机器
- 高级管理人员、系统管理员、财务/人事/业务人员的个人计算机。
- 产品管理系统服务器。
- 办公系统服务器。
- 财务应用系统服务器。
- 核心产品源码服务器(IT公司通常会架设自己的SVN或者GIT服务器)。
- 数据库服务器。
- 文件服务器、共享服务器。
- 电子邮件服务器。
- 网络监控系统服务器。
- 其他服务器(分公司、工厂)。
2. 敏感信息和敏感文件
- 站点源码备份文件、数据库备份文件等。
- 各类数据库的Web管理入口,例如phpMyAdmin、Adminer。
- 浏览器密码和浏览器Cookie。
- 其他用户会话、3389和ipc$连接记录、“回收站”中的信息等。
- Windows无线密码。
- 网络内部的各种账号和密码,包括电子邮箱、VPN、FTP、TeamView等。
1.3 应用与文件形式信息的防护
在内网中,攻击者经常会在进行基于应用与文件的信息收集,包括一些应用的配置文件、敏感文件、密码、远程连接、员工账号、电子邮箱等。从总体来看,攻击者一是要了解已攻陷机器所属人员的职位(一个职位较高的人在内网中的权限通常较高,在他的计算机中会有很多重要的、敏感的个人或公司内部文件),二是要在机器中使用一些搜索命令来寻找自己需要的资料。
针对攻击者的此类行为,建议用户在内网中工作时,不要将特别重要的资料存储在公开的计算机中,在必要时应对Office文档进行加密且密码不能过于简单(对于低版本的Office软件,例如Office 2003,攻击者在网上很容易就能找到软件来破解其密码;对于高版本的Office软件,攻击者能够通过微软SysInternals Suite套件中的ProcDump来获取密码)。
