本以为我们的系统安全和网络安全做的很好,静态扫描、动态扫描、组件扫描、主机扫描、网络扫描,都把系统扫烂了,而且有集团安全提供的各安全供应商的各类工具,发现的问题,包括0day漏洞都会尽快修复,于是膨胀了。
邀请了集团及合作的安全专家,对系统的测试环境进行了渗透攻击,我们进行防御,不出意外,意外很快就发生了,很快就收到了被攻破的报告。
被打脸了,攻击路径:
1、在测试环境发布的时候,为了调试方便,开启了一个配置,导致关键组件可以不授权访问
2、该漏洞被蓝军利用,直接获取了数据库、配置中心等内外服务地址和账号密码
3、蓝军通过修改网关配置,直接将配置中心管理界面映射到了外网,获取了配置中心的全部配置
4、通过配置信息,蓝军很快就获取了OBS访问密钥、部分AK/SK信息、数据库地址信息、开放平台配置信息等
*此时安全团队才发现问题,及时进行了干预,阻断了进一步的攻击
5、后续蓝军可以访问数据库,导出数据库信息,直接挂到网关上,外网可以直接下载
6、后续蓝军可以访问OBS,枚举文件,将部分文件挂到网关上,外网可以直接下载
7、后续蓝军可以继续挂马,继续向内渗透攻击其他主机,进一步扩大战果
8、后续可以通过获取的信息,加上社会工程学信息,继续进行渗透
9、后续蓝军可以继续投放勒索病毒等,达到进一步的攻击目的
后续我们进行了集体反思,看似铜墙铁壁的防护,被一行简单的配置全部破掉了。
后续整改措施很多,包括:
1、及时排查和修复此类问题,对开放、测试、生产进行全面整改
2、通过访问日志,确认过往未发生数据泄露问题
3、再次确认网络安全策略,对办公、开发、测试、特别是生产环境进行隔离
4、不仅生产,在测试和开发环境上也要保持配置隔离,宁可增加一些资源
5、不仅生产,在测试和开发环境上也要加强管控,否则问题一定会蔓延到生产环境
6、部分关键信息是明文存储的,必须调整为加密存储
7、非必要,开发及测试环境不对外开放,即使必要,及时关闭
8、加强对软件提供商的管理,避免
9、与多个安全厂商合作,引入外部专家,进一步加强渗透及越权测试