企业安全痛点之员工行为难管控（二）

   昨天的文章说到员工行为难管控的以下三个体现点，受到很多甲方安全运营者的赞同。

1、滥用云笔记及网盘

2、将公司代码存储在Github、oschina、Bitbucket等。

3、员工企业邮箱与外部个人账号密码一致。

 

除了这些，我们在人员安全检测服务过程中还发现很多这方面的问题，今天接着把这些问题一一列出来，以便于我们后面说明怎么解决，案例中讲到的所有故事都是绝对真实。

 

4、在邮件、QQ、钉钉等沟通工具中直接发送密码。

    任何地方发送或者存储密码等敏感的东西，都有很大可能被人搞走，光搞掉目标的邮箱或者QQ，就有一只手都数不过来的方式。所以把密码、私钥、敏感报告这些东西直接明文发送，是我们这些搞人员安全测试的人最喜欢搞的点。

 

案例：乌云网[巨人网络员工邮箱弱口令导致大量敏感信息泄露]

密码设置的再复杂也无济于事。

5、随意打开陌生人发送的文件或链接

给目标发木马或XSS、CSRF漏洞链接，这种渗透方式相信有不少人用过，对国内非安全岗位员工的安全意识而言，用公开的office或者pdf漏洞绑木马发送，都是在浪费时间，根本用不着这么费劲。之前给一家估值数百亿美元的企业做渗透测试，本身这家企业有一直非常专业的安全团队，团队小伙伴搞了整整几天系统和应用，都没有什么大的进展。

眼看第二天就要交报告，于是我打开官网，让团队专门写木马的小伙伴，生成一个免杀过绝大部分世界级杀毒软件的木马（免杀：杀毒软件正常运行的情况下执行木马无任何提示），打开官网跟客服小妹妹聊了三分钟投诉产品问题，接着发送木马给她，说是产品照片，不到两分钟，小姑娘运行了木马，当天几个小时内，通过小姑娘的电脑作为跳板，将这家企业内网漫游了一圈，数千万的数据截了图写进报告。

其实当时不止客服，通过邮件给商务发木马、通过论坛私信给管理员发木马、通过邮件给售后发木马，全部成功运行木马。最讽刺的，我是直接发的exe文件，可见国内人的安全风险辨别能力如何。

 

还有一次给中国最大的互联网企业做渗透测试，小伙伴拿到一个员工内部聊天软件账号密码之后，在一个视频播放器上捆绑木马，视频同放在压缩包里，压缩包命名为“优衣库嵊州版”，接着在内部一个相亲群里发送视频的下载链接，成功运行木马的员工不下于两位数，下载的人数达到40位，你们这些上市企业白领上班都在干嘛！最终通过抓取员工电脑浏览器里保存的密码，入侵了大量的内部系统。

6、内部系统设置弱口令或默认密码不更改。

这里的内部系统指的OA系统、企业邮箱、运营后台、运维系统（不限于nagios 、cacti、zabbix、Jenkins/Hudson）、VPN等等，其中重灾区在企业邮箱，曾经给一家会员数量上亿的上市企业做渗透测试，在不知道员工邮箱列表和默认密码的情况下，纯属靠以下几种组合，撞出60多个邮箱的密码，下载的邮件达30G+。

 

组合一：个人信息组成的密码

利用普通人的真实姓名生成拼音作为用户名（如[email protected]），这个字典是常备字典，密码以相同的用户名+123，如wangwei123、Wangwei123、wangwei@123，更多的变换下数字，改为521、520、1234、321、123456等， 再针对性一点的，密码大多是姓名加生日，如wangwei1984、Wangwei0906。

这个组合的密码特点是大小写数字都包含，符合大部分密码强度要求。

 

组合二：企业默认密码

组合为企业域名或名字+年份，比如personsec@2016，除此还有后面数字换为123、321、123456等，也有默认是名字拼音加工号。

 

组合三：讲臭了的弱口令

如123456、123456789、qq123456、1qaz2wsx、1q2w3e4r、等等。仅仅乌云搜索弱口令就出现14000多条的结果。

 

今天结束，剩下已经准备好的场景list达到大几十个，比如不安全使用及私建wifi、捡路边的U盘等硬件设备、私自使用红杏出墙等代理插件，我们根据这些场景做成了有趣的室内外大屏幕动画视频和海报、贴士、手册，甚至视频里面的故事情节都是从现实人员安全检测服务中提炼，期待明日内容。

 

我们给企业客户的墙面安全意识小贴士：

本文始发于微信公众号（互联网安全与创业）：企业安全痛点之员工行为难管控（二）