关注兰花豆,探讨网络安全
2024年12月18日,国家互联网应急中心发布了两起涉及美国情报机构对中国大型科技企业进行网络攻击和窃取商业秘密的事件。这两起事件不仅揭示了跨国网络攻击的复杂性和隐蔽性,还反映出我国部分企业在网络安全防护中的薄弱环节,尤其是在资产管理、漏洞修复和访问控制等方面的缺失。本文将对这两起事件的入侵过程进行分析,并结合企业网络安全防护现状,提出相关的改进建议。
![重磅!美对我大型科技企业机构发动网络攻击窃密 重磅!美对我大型科技企业机构发动网络攻击窃密]()
事件一:美对某先进材料设计单位的网络攻击
2024年8月,我国某先进材料设计研究单位遭遇疑似美国情报机构的网络攻击。攻击者通过国内某电子文档安全管理系统的漏洞发起攻击,成功渗透入公司的软件升级管理服务器,并利用该服务器作为跳板,向公司内网分发木马程序,进行窃取商业秘密的行为。
事件二:美对某智慧能源和数字信息企业的网络攻击
第二起事件发生在2023年5月,涉及我国某智慧能源和数字信息领域的高科技企业。攻击者通过多个境外跳板,利用该公司部署的微软Exchange邮件系统漏洞,植入木马程序并窃取邮件数据。此外,攻击者还通过该邮件服务器进行横向渗透,控制了其他主机设备,进一步窃取了敏感信息。
攻击分析:技术手段与安全漏洞
从技术层面分析,两起事件都表明,攻击者并未使用非常复杂的技术手段,而是通过企业在资产、漏洞和访问控制方面的薄弱环节进行攻击。在事件一中,攻击者利用国内文档管理系统的漏洞进入内网,通过已知的木马传播方式窃取数据。在事件二中,微软Exchange邮件系统的漏洞成为攻击者进入公司内网的突破口,进一步通过邮件服务器实现横向渗透。
这些攻击手段表明,企业的安全防护工作仍处于基础防御阶段。缺乏有效的漏洞扫描、及时的漏洞修复和全面的安全审计措施,导致了攻击者能够轻易找到漏洞并实施攻击。此外,访问控制的不足和资产管理的疏漏,也是这些攻击能够成功的关键因素。尤其是在事件二中,使用外国邮件服务器本身就存在不可控的风险,一旦这些服务器成为攻击目标,企业的敏感数据将毫无保护。
企业的网络安全防护现状与不足
这两起事件的发生,暴露出我国部分高科技企业在网络安全防护方面的几大薄弱环节:
企业没有清晰的资产管理体系,尤其是在使用第三方软件和外部服务时,缺乏对这些资产的安全审计和风险评估。一旦这些外部服务存在漏洞或后门,企业将面临巨大的安全隐患。
事件中的攻击者利用了已知的漏洞进行攻击,这表明企业对漏洞的发现、修复和管理存在疏漏。漏洞扫描工具的应用、补丁管理的及时性以及漏洞修复的优先级设置,都是保障企业网络安全的关键环节。
攻击者能够通过某一系统渗透到企业内网,且能够横向渗透到其他主机设备,显示出企业的访问控制措施不严密。加强内网的权限分配与最小权限原则,能够有效降低横向渗透的风险。
事件二中,使用微软Exchange邮件系统本身就增加了外部攻击者的入侵风险。企业应考虑对外部服务进行严格的安全审计和加固,避免成为攻击的软肋。
网络安全改进建议
为了防止类似事件的再次发生,企业应加强以下几个方面的网络安全防护:
建立健全的资产管理平台,实时掌握所有软硬件资产的安全状况,尤其是对第三方服务和外部供应商的安全性进行严格评估与管理。
加强漏洞扫描和修复的能力,实施全面的补丁管理,并定期进行漏洞检测和安全审计。确保企业内部系统和外部服务的安全漏洞能够及时发现并修复。
实施严格的权限管理和最小权限原则,定期进行权限审计和访问控制策略的评估。确保敏感数据和关键系统不易被不法分子通过横向渗透进行攻击。
对于使用的外部服务,尤其是邮件系统、云服务等,应评估其安全性并采取必要的防护措施。例如,使用加密传输、加强身份认证以及多因素认证等手段,减少外部服务被攻击的可能性。
结语
网络攻击是一个持续演变的过程,随着技术的进步,攻击手段也变得越来越隐蔽和复杂。对于企业来说,提升网络安全意识、加强基础防护措施,常态化安全运营,持续安全验证,已经成为确保企业信息安全和保护商业秘密的基础。通过持续的安全建设和防护优化,企业不仅能防范外部攻击,还能提升其在全球竞争中的安全性和可信度。
原文始发于微信公众号(兰花豆说网络安全):重磅!美对我大型科技企业机构发动网络攻击窃密
评论