通常,当我告诉某人有关漏洞的信息时,他们会像疯子一样看着我,上面写着“悔改,因为世界的尽头已近”!现在每个人都在恐慌中奔波,试图组织一个“远程”,犯下简单的错误,收集所有可能的佣金,所以我决定与吉普赛黑客,开放的CVE和专业人士一起分享一些戏剧性的故事,但是有些天真。当然,我不得不省略一些细节,甚至故意扭曲,以免打扰客户。在大多数情况下,这不是Technoserv当前工作的一种做法,但是即使您确实愿意,也请让该帖子成为有关如何不这样做的小提示。如何隔离服务器
数据中心中有一台服务器。这样的老派,铁,没有任何花哨的容器和虚拟化。在几代员工之前,一位开发人员“临时配置了它,因此只接受了该项目的几个大文件。”同时,该公司确实非常关心信息安全,但是,经常发生的是,IS的同事满足了业务需求,并商定了一种可以完全访问Internet的临时选项。幸运的是,服务器位于DMZ的灰色区域,无法直接连接到内部电路的关键服务。设置了第22个端口,在内部,他们仅添加了几个具有单独密码的本地用户即可通过ssh / sftp登录。证书访问被认为太不方便。然后,另一个项目的开发人员开始运行,并被要求帮助自动从对方的服务器上进行定期上载,因为“您有一台方便的服务器,可以协调访问网络”。然后再说一次。结果是一个非常欢快的情况,服务器看起来像是临时服务器,没有收到任何更新,但是已经捆绑了许多业务流程,并且每月抽出数TB的数据。我们决定对其进行监视,因为服务器非常重要,并且CPU的图形立即具有100%的存储量。他们正确地解决了问题:代表可疑用户测试的一堆rand进程和他们吃光的一堆内存,日志在世界范围内不断受到暴力侵害。在忽略服务器之前,他们戳了一下进程:lsof立即显示了已删除但尚未关闭的文件,这些文件仍挂在RAM中。不幸的是,不可能确切地了解攻击者在做什么,但是这种行为更像是一个人,而不是编写脚本。当检查RAM中的脚本时,罗马尼亚语的scanez clasa(扫描一个类)之类的插入非常高兴:#!/bin/bash
while["1"];do
class="
#168
"
classb="`seq 1 255`"
classb2=($classb)
num_classb=${#classb2[*]}
b=${classb2[$((RANDOM%num_classb))]}
classc="`seq 1 255`"
classc2=($classc)
num_classc=${#classc2[*]}
c=${classc2[$((RANDOM%num_classc))]}
classes=($class)
num_class=${#classes[*]}
a=${classes[$((RANDOM%num_class))]}
echo "scanez clasa ${a}.${b}"
./a ${a}.${c}
done
据我所知,没有严重的泄漏事件发生(或者他们没有告诉我),攻击者无法进入边界,但是从那以后,该公司一直在谈论吉普赛马贼黑客。规则
- 不允许在基础结构中修复临时方便但不安全的解决方案。是的,我知道它们是不一致的,但是只能忍受隔离,但是只要您同意将它们删除就可以了。经过多少天或几个小时。并立即进行清理。好吧,至少请对其他人说。毕竟,暴露的服务平均在20分钟内开始中断。
- 不要向外部显示ssh和纯RDP,最好通过VPN或Web隧道服务提供访问。我不知道为什么,但是对于他们来说,人们对允许的帐户及其密码的责任更大。
- ssh — . . ssh, .
- - — - fail2ban, , - . «» «». , . , , , — .
- , : « ?» .
- . . , , .
IP – , firewall !
我完全理解NAT是必不可少的拐杖,它破坏了开发人员的生命,并且不允许实现快速将节点彼此连接的选项。然而,就复杂的常规自动攻击而言,隐藏网络内部结构的副作用非常有用。是的,我非常了解,最正确的选择是使用列入白名单的防火墙来明确允许仅必要的连接。问题在于,在诸如防火墙的硬配置或上帝禁止SELinux之类的琐事不断困扰的世界中,SELinux从来没有时间和预算。通常,它们会干扰调试,缩短上市时间的关键指标,并且不允许开发人员和开发人员安居乐业。当按需自动部署的云基础架构成为行业标准时,情况变得更加有趣。事实是,大多数云解决方案都假定对堆升高的容器和虚拟机的保护在于最终用户。通常,它们为您提供基础结构,分配白色IP地址,从本质上讲,它们只是提供了一组功能,而不是现成的解决方案。默认情况下,所有内容都是关闭的,但不方便,因此会妨碍开发。因此,让我们打开所有内容,我们将进行冷静的测试,但是在生产中,我们将正确进行操作。通常,这会导致有趣的情况。我观看了著名的MMORPG服务器的一个盗版副本。氏族,多纳特,彼此母亲的不断讨论和其他快乐。每个人都想知道为什么有些字符抽得这么快,而且通常是全能的。我在最接近游戏服务器的地址范围内运行了nmap。事实证明,包括前端,后端和数据库在内的整个基础架构都只是简单地将开放端口连接到外部世界。如果可以通过Internet访问数据库,那么sa用户最可能使用的密码是什么?是的,也是!结果,最困难的事情是弄清表结构。一位客户的情况与此类似,该客户在家中工作一段时间后,打开了对家用计算机管理面板的远程访问权限。自然,管理面板未经授权,因为它被视为安全的内部资源。客户没有打扰,只是立即打开整个Internet的端口。向世界开放的ELK服务器每周都会弹出。只是在其内容中找不到。从个人数据开始,以信用卡号结束。规则
- 防火墙必须列入白名单。在任何情况下都不能从外部访问后端。并且不要犹豫,询问承包商和远程员工他们将从哪个IP连接。最后,专用IP的成本约为150 r / month,这对于在家工作的机会来说是一种可行的浪费。
- 始终使用HTTPS和完整身份验证,即使它们只是“测试”机器。
- 严格分开的测试和生产环境。绝对不要在两个环境中都使用相同的帐户。
桑巴舞
特别是我经常对Samba服务器感到满意,该服务器通常用于组织资源共享。为什么不为邻近部门的同事设置访客访问权限以方便地交换文件?在一家小公司中,一切进展顺利,直到没有更多的部门。一段时间后,需要配置对远程分支机构的访问。完全“合理”的解决方案是从外部开放对samba的访问。好吧,每个人都有自己的密码,怎么可能出问题?直到事实证明,硬盘的有形部分被其他人的数据所阻塞,才使人想起来宾访问。自动扫描仪很快找到了免费的文件存储,而HDD开始迅速阻塞其他人的加密档案。在其中一个目录中,我们在审计过程中发现了精选的成人电影集,其中有60岁以上的女演员参加(很幸运的是没有18岁,否则会从执法机构飞来)。发现
- 没有VPN,切勿共享存储。
- samba ftp-. , .
- , , - .
,
我有一个客户根本不了解,如果一切对他来说都行,他为什么需要花更多的钱进行备份。这很贵。而且他微调。结果,连续打开并运行发送到邮件的所有内容的员工安全地感染了加密病毒。他们丢失了基础1C,只能通过纸质档案和一个承包商将基础复制到自己身上来恢复它。我与负责人交谈,解释了公司中需要更改的关键点,以消除失去基础的风险。他在整个谈话过程中都点了点头,并以一个很棒的短语结束了:“弹丸没有两次击中同一个洞。现在没有什么可害怕的。” 在六个月后的同一场景中,他再次拒绝备份并自然丢失了所有数据。规则
- , (- ). , .
- . - , .
- . . , helpdesk.
!
根据我的经验,中小型公司通常从完全手动的用户帐户管理开始。我的意思是,新的销售经理陷入了胡须胡须的管理员之列,向他郑重提供登录名,密码和访问权限。在公司开始成长之前,所有这一切都运作良好。这是出售复合坦克的人。他们最近改变了领导地位,并决定进行全面的安全审核。他们甚至带我们参观了展示作品。奇观令人印象深刻:在一个巨大的车间中,旋转了大型工件,并在其上缠绕了玻璃纤维,而工人则用一桶环氧树脂跑着,小心地将其涂抹在工件上。在单独的建筑物中,他们有一个行政部门,我们直接将自己埋葬在生产信息部分的组织中。乍一看,他们组织了一个相当合乎逻辑的计划,当时只有在获得主管批准的情况下,才通过AD中的内部帐户访问客户数据库。当一个人退出时,他浏览了清单,交出了设备,卡,并且帐户被停用。由于未分配用于完全身份管理的资金,所有这些都是手动完成的。在审计过程中,我们发现他们已经在很多年前实施了一个自写门户,以便销售人员可以远程接收他们需要的有关客户的数据。他们甚至开始将其基础架构迁移到云中,但是由于一些内部困难,最终他们停止了一半。此外,AD不能在那里整合,解散后在核对清单上完全删除帐户。一切似乎都很正常,但是在日志中,我们找到了某个瓦西里(Vasily)的活跃账户,该人几年前被解雇,现在已经在一家竞争公司中成功工作。此外,根据日志来看,他每月至少一次卸载几乎整个客户群。该帐户立即被封锁,他们开始观察一个人如何规避内部法规。事实证明,瓦西里首先以销售经理的身份进入门户网站,然后直接转移到车间的管理职位,此后他辞职了。但是,在研讨会中解雇的清单完全不同,此处未列出从门户网站停用帐户的信息。尽管似乎为所有系统中的访问控制都建立了一个通用清单,但可以避免该问题。规则
- 如果您有100多名员工,请考虑引入成熟的IDM系统。
- 不是从旁路工作表中而是直接从人事部门中删除数据。裁员有所不同,解决方法可能不会给您带来好处。
- — . . , « , », , ( , , . .).
- « », - .
- . .
- . , — . .
?
由于某些原因,信息安全在传统上被认为是不友好的人,他们以无聊的法规追逐每个人并干扰他们的工作。实际上,对于上述所有怪诞的例子,在实际案例中经常会发现它们,而护卫人员和偏执狂管理员则可以帮助避免这些情况。只需尝试找到一种通用语言即可。首先,IS员工本人不应该成为看门人,他们只从事使大脑成为常规密码策略而无须说明的事情。正确的方法是与开发人员和开发人员会面,陷入他们的问题。然后开发正确的折衷方案,该方案不仅可以通过无密码访问外部环境而发光,而且使用起来很方便。开发人员有时希望至少有点偏执。该文本由Technoserv Cloud信息技术主管Vladimir Chikin编写。