MITRE | ATT&CK技战术知识库的凭证访问攻击策略中,有密码猜解、密码破解、密码喷洒,撞库四种攻击手段。黑客会根据攻击成本和已掌握资源情况对自身的攻击手段进行灵活调整,即便是安全防护水平较高的大型金融类机构,也难逃其扰。
一场风波
溯源分析
接到通知后不到半小时,微步在线研究响应中心团队到达现场。结合现场沟通与上机查验,同时针对已有日志梳理与特殊取证,最终成功溯源:黑客通过钓鱼邮件进入企业内网,对某工具系统成功实施密码爆破,获取到访问权限。随后,黑客上传WebShell后门控制该系统,并在拿下系统权限后进一步在企业内网中横向移动。
“根据微步在线研究响应中心团队的研判,攻击涉及到一个复杂的WebShell,与传统的WebShell不同,它没有交换秘钥,因此绕过了很多安全设备,” 陈星说道,“所幸的是,在内网横移阶段被安全设备及时检测到,避免了事态恶化。”
“另外,黑客也很聪明,他选择了人这个突破口。”陈星说,“虽然我们内部已经通过TDP梳理并关闭了不合理对外开放的端口与服务,同时对使用弱口令的系统和ID进行判定和识别,但黑客笃定总有粗心,懒惰的人存在,所以只用一封邮件,就拿到了攻击入口。”
破局之法
2010年4月,中国银行业监督管理委员会办公厅发布《商业银行数据中心监管指引》通知,对商业银行机构的数据中心提供了监管指引。基于通知以及灾备目的,金融类机构一般会采取建设两个或多个数据中心的方式。其中主数据中心承担用户的核心业务,其他数据中心承担非关键业务并备份主数据中心的数据、配置及业务等,形成“两地三中心”的行业主流部署架构。
针对核心资产的威胁防护与检测,该机构主数据中心集群部署2台TDP设备,监控整体生产网流量;而在另外两个数据中心,各部署1台TDP,分别对生产网与办公网总体出口流量进行镜像检测。通过主数据中心集群式部署TDP,保证对大流量稳定检测,同时与其他两个数据中心TDP级联部署,形成主节点与从节点的“级联+集群”网络检测部署方式。在主节点即可对其他从节点TDP威胁状况进行全面掌控,确保威胁检测的全面性与稳定性。
同时,为发挥已有安全设备能力,构建更精准有效的威胁情报中心,该机构还引入微步在线本地威胁情报管理平台TIP,基于微步在线威胁情报云,将WAF、防火墙、IDS等不同安全设备告警与TIP进行碰撞与校准,一旦核准发现真实威胁即快速联动防火墙、WAF等设备进行处置,通过威胁情报中心,实现更强大的威胁防护。
“通过TDP基本能对绝大部分新型或复杂威胁进行及时有效地检测与阻断,所以更重要的其实是加强人员安全意识的提升,企业内的每一位员工都可能成为攻击的第一道入口,”陈星说,“不过好的迹象是,大家的意识越来越强了。”
根据F5 Labs的最新报告指出,金融服务机构遭遇密码攻击事件比例明显高于其他行业,其中又有超过半数为暴力破解,其余则是撞库攻击。与此同时,Dos攻击、Web攻击、DNS攻击、恶意软件类攻击均为金融安全事件中的常见攻击。安全威胁和隐患的治理不在一朝一夕,当员工安全意识不能完全匹配业务安全需求时,能够有效“兜底”的方式,就是选型并部署有效的安全系统。
大型金融企业如何落地大流量威胁检测
提升高级威胁检测能力
欢迎扫码联系我们
↓↓↓
哦原文始发于微信公众号(微步在线):金融机构中的攻防战:三台设备落地高级威胁检测,秒捉新型WebShell后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论