零信任是什國這麼?雲湧零信任是如(rú)何解決網絡安全實際問題的 厭離
- 分類:行業動态
- 作者:
- 來源:
- 發布時(shí)間:2021-03-26
- 訪問量:969
零信任是什麼?雲湧零信姐頻任是如(rú)何解決網絡安全實際問題的 街市
【概要描述】
零信任網絡的模型是約翰·金(jīn)德維格在2010短兵年創建的,當時(shí)他(tā)還是煙酒機構For鄉舊rester的分析師。如(rú)今11年過去了,随着零信任的支撐技術逐漸成為(訊輛wèi)主流,防護企業系統及數據安全的壓力也越來越大(d還在à),再加上網絡攻擊演變得(de)更加複雜,零信任模現水型也在CIO、CISO和其他(tā)企業高管中間越加流行了。
時(shí)至今日,零信任已經不(bù)商著再冷門。但是還有很多人不(bù)太理解零信任,那要喝零信任是什麼呢?
「零信任」是一種安全理念,它建立在一個簡單的房訊、衆所周知的前提之上:不(bù)信任網絡内部和外部的任何人/設備/在短系統;不(bù)信任傳統網絡邊界保護,而代之以微村如邊界保護。零信任要求将用戶的訪問權限限制為(wè大妹i)完成特定任務所需的最低(dī)限度,在組織内部重構以身份為(wè很放i)中心的信任體系和動态訪問控制體系,建立企業全新的身份邊界,即微邊中匠界。零信任的關鍵在于控制對數據的訪問權限,而與數據所在的事請位置無關,與訪問發起者的位置無關。零信任的做法是先信任,後連接,隻有通(tōn照近g)過動态的認證和授權,才可能發起對數據資(zī)源的訪問連接,睡和這和傳統網絡安全先連接後信任的方法有主要區别。
随着零信任概念的不(bù)斷普及,大她開(dà)部分人對于零信任的了解還停留在概念層面,知道零信任有哪些能力地兵,但不(bù)知道零信任到底怎麼解決實際問題的。
圖片來源:BeyondCorp: A New Approa知城ch to Enterprise Security, Google
其實,零信任本身是非常落地的,零信任架構樹那BeyondCorp就是谷歌公司根據自身的攻防實踐總結低熱出來的,且一直沿用至今,可謂效果顯著。谷歌将BeyondCorp項了北目的目标設定為(wèi)“讓所有谷歌員工(gōng)從家子不(bù)受信任的網絡中不(bù)接入VPN就能順利工(gōn好上g)作”。盡管聽起來像是要解決遠程接入的安全問題,Bey人光ondCorp實際上是抛棄了對本地内網的信任,進而提出了一個知海新的方案,取代基于網絡邊界構築安全體系的傳統水姐做法。BeyondCorp的落腳點是網絡不離校(bù)可信,因而在于對人和設備的管理、認證、授權和訪問控制;而公醫“零信任模型”着眼的是網絡流量不(bù)可信,從而着件員眼的是對不(bù)同網絡流量的隔離,并分别進行安全掃描和處理。
接下來,我們(men)以一個黑子船客的視角,來看看是如(rú)何攻擊公司網絡獲得(de)機密的(改謝西編自Ed Skoudis 的《黑客攻防演習》中的案例)。
大(dà)家(jiā)好(hǎo),我叫H(Hacker簡稱),是從關門事三年的職業黑客,平時(shí)的愛好(hǎo)除了在網上沖浪聽這,就是四處周遊,酷愛挑戰極限運動,這大(dà)概也是我從事黑客的原因吧。有一天拿們,一個戴着墨鏡身着西裝的中年男士找到我,也不(紅慢bù)羅嗦,直接提出需要我拿(ná)到G公司的“命根子(zǐ)“——Sof音下er軟件新版本的全部源代碼,事成之後便會讀文(huì)支付給我大(dà)筆現款。且不(bù)管下著對方是誰,無非是涉及到商業競争,反正報酬異常豐厚,幹就完了。
事先我就知道G公司的網絡安全産品是業界聞名的,所以入侵會(h志作uì)有一定的難度,而且安全公司與政府的關系都不(bù)錯(cuò),所以我個見也深知工(gōng)作的危險性。隻有做到不(bù)留任秒服何痕迹才是完成任務并保護好(hǎo)自己的唯一方式。于是,我通鐵雨(tōng)過網上搜索,查詢到G公司所有數風的Sofer軟件的源代碼都存儲在公司網絡上飛們的源代碼倉庫内,而且源代碼管理是公司的核心秘密,也為網絡由複雜的安全網關保護,别說(shuō)是外部人員,即使内部人員進入也是關卡空醫重重,更别說(shuō)我要做到不(bù)留痕迹匠懂了,簡直是難于上青天。
但值得(de)慶幸的是,我了解事道到G公司的員工(gōng)遍及多個國家(但窗jiā),作為(wèi)高科(kē)技的軟件公司,很多編程人員習慣在家(ji腦離ā)辦公,他(tā)們(men)通(tōng)過VPN外跳連接到公司,經過簡單的用戶名和密碼驗證後就可做少以訪問公司内部網絡資(zī)源,不(bù)僅我哥可以收發公司郵件,還可以處理公司業務,而且很得相多程序員每天都會(huì)下載需要編輯的源代碼文件,然後上傳。這便給了票工我可乘之機。
H把他(tā)的工(gōng)作做了如(rú)下安排:
準備階段
為(wèi)了掩藏自己,我找到了一個不(bù)錯(cuò)的位錢的置作為(wèi)工(gōng)作場所,通(tōng)過某小學旁邊的網音費絡可以無線接入訪問互聯網,接入網絡之後便通(tōng)請朋過Nessus漏洞掃描器(qì),搜索到南京一所大(dà)學裡有個通校被木(mù)馬感染的Web服務器(qì),如說由于安裝木(mù)馬的那個家(jiā)夥沒有好(hǎo)好農我(hǎo)保護自己的“果實“,所以我不(bù)費吹灰之力便猜到了密碼,并搶占作文了這台服務器(qì)的控制權;接下來,我又在深圳的一家(jiā年得)商業網站上找到了一台很”弱智“的Linux服務器(qì路筆),上面還有個MYSQL數據庫,我毫不(bù)猶豫地納入囊中,這樣我便有司答了兩個可以指揮的“沖鋒戰士”,自己就可以退居子暗二線,運籌帷幄。
偵查階段
其實這期間我也下了不(bù)少會靜功夫,比如(rú)學習G公司的網站,而且通(呢工tōng)過在各種互聯網博客、論壇等新媒體平台搜尋,找到了大(城年dà)部分G公司員工(gōng)發表的文章,雖然文章大(dà)部分都是一些技術藍子交流以及非商業性質的讨論與建議,偶爾也有涉及到公司網絡結構得鐵的文章,但是我更關心的是,他(tā)們(men)都留下了真實的郵箱地址,所以我慢志很快便猜出了G公司郵箱的命名規則,還意外找到了公司部分銷售機構的通(tōn體睡g)訊(xùn)錄,在收集了大(dà)約200個G公司的郵箱地址後,我開(kā暗討i)始準備下一個階段的工(gōng)作了。
釣魚階段
既然是釣魚,我得(de)先準備魚餌,我發現大(d友慢à)多數碼農都有上班時(shí)間玩遊戲的愛好(hǎo),正好文小(hǎo)我手裡有一款不(bù)錯(cuò)智力攻關型的遊戲軟件,以時玩前是自己在無聊的時(shí)候編寫的,從沒有給人看過,也就平常自己玩玩飛雨,現在正好(hǎo)派上用場。于時(shí)我把這款遊戲放物技到深圳的那台服務器(qì)上,然後申請注冊了一個網絡域名,在服務做從器(qì)上開(kāi)啟遊戲下載服務,還建立了所謂的公司服務郵箱,接下慢南來指揮南京的服務器(qì)給“精選”出來的20名G公司員工(gōng)郵箱發資窗出了誘惑郵件,大(dà)緻就是需要高手來挑戰之類的免費試玩遊戲白員,而郵件中的遊戲下載鍊接指向深圳的服務器(湖月qì),當然了,考慮到G公司郵件服務器(qì)上的發垃圾過濾功能,我術理不(bù)會(huì)給所有人都發郵件。他(tā)們(men)在物你下載遊戲的同時(shí),也把我事先采用打包軟件工(gō得畫ng)具和遊戲軟件打包在一起的木(mù)馬程序一并下載她銀了,而且為(wèi)了安全起見,這個木(mù)馬程序是我單獨設計那學的,可以保證不(bù)被G公司的反病毒軟件發現。
接下來便等魚兒上鈎,果然沒多久,就有一個員工(gō件可ng)下載了遊戲,即使對方執行遊戲之前用了反病毒軟件進行了檢查,也兵章沒有發現任何問題,他(tā)沒有注意到的是,遊戲開(kāi紙市)始的同時(shí),我的木(mù)馬後門程序也開(kāi)始工雜快(gōng)作了,就這樣,釣魚完成。
病毒傳播
接下來,該員工(gōng)隻要重舊近新建立了與公司的VPN連接,木(mù)馬就可以月呢通(tōng)過VPN鍊路掃描公司網絡,找到了一個Windo兒做ws文件共享目錄,裡面有很多員工(gōng)常用習影的軟件,然後把其中有個員工(gōng)常用文字編錢西輯notepad.exe軟件改名為(wèi)nn.co她美m,再把自身複制後上傳為(wèi)notepad.exe,就這樣,木(也日mù)馬最後便堂而皇之地從VPN用戶傳播到了公司内部的網你資絡上。公司其他(tā)員工(gōng)如(r就店ú)果調用notepad.exe,木(mù)馬就先複制自己,通快再調用nn.com,所以很快,木(mù)馬病毒在用戶感服得覺不(bù)到異常的情況下,開(kāi)始在G公司網絡内鐵件部四處傳播。
盜号竊取
我的木(mù)馬還有一個任務就是收集系統内存火大放密碼的文件,通(tōng)過用戶建立新連接的鍵盤記錄,過濾出用戶ID件森和密碼,很快南京的服務器(qì)上就收集了500多個密碼散動東列,當然,我并沒有直接到南京的服務器(q飛暗ì)上去破譯這些密碼,那樣很容易被追查到,而是通(t林讀ōng)過建立網絡連接的“中繼站”,安裝Covert_TCP服務器(qì)電家軟件以及選擇不(bù)容易被懷疑的知名商業網站科章作為(wèi)跳點這一系列方式,建立了“TCP ack”彈可愛躍模式的訪問通(tōng)道,使用遠程命令方式訪問南京的服務山多器(qì)。最終利用破解工(gōng)具成功獲取了50個西工密碼,這裡面還包括一些高級管理人員的ID和密亮得碼,我利用這些剛破譯的密碼,成功從南京的服務器(qì)上以“合法身份”登錄銀章到G公司的VPN網關,并進入内部網絡,掃描并找到街關Sofer軟件的位置所在。由于G公司内部網林微絡的安全監控系統很強大(dà),為(wèi)了避免高頻率的發包掃描被安飛化全管理人員發現,我還不(bù)忘利用自己手裡上萬個聽多僵屍機器(qì)對G公司的外部網站進行間歇性的DDOS攻擊來分散注意力,采用分中麗布式、間歇式的掃描方式,緩慢地探測。所以最終在定位了Sofer軟拿東件的位置後,加上有不(bù)斷提供的“密碼支持”,我成廠在功取得(de)了代碼倉庫的下載權限,沒有幾天,我便通(tōng)過間接途徑把相玩全部代碼逐步下載到自己的系統中。
收尾拿(ná)錢
取走源碼之後,我還不(bù)忘删除自己的入侵軌迹,下雜大達木(mù)馬自行毀滅的指令,并删除了日志。交貨時有拍(shí),看到西裝男拿(ná)到光盤時(shí)驚喜的公科眼神,我特别有成就感,點着厚厚的鈔票,開(kāi大又)始計劃着自己的夏威夷之旅……
通(tōng)過這個案例中職業黑客H的“出更”經曆來看,我們家服(men)不(bù)難發現G公司在網絡安全管理的漏微友洞:員工(gōng)網絡安全意識薄弱、内你校網權限劃分不(bù)合理、安全管理人員憂患意識與美長防護經驗欠缺……以上都為(wèi)H竊取明學軟件源碼提供了先決條件,那麼接下來我們(men)就以案例中G公司的網絡安全管理水拍漏洞為(wèi)觸點來講講雲湧零信任是如(rú)何解決網絡木明安全實際問題的。
1.釣魚階段,針對木(mù)馬的攔截
即使在員工(gōng)自行下載木(mù)馬的情況下,雲湧零信任客農新戶端會(huì)主動在其進入内網前主動檢測到設備的安全能力是否開(kāi如新)啟以及設備是否處于安全狀态,這樣便會(huì)讓木(m視話ù)馬無所遁形,一經發現便會(huì)及時(shí)被哥亮處理。
2.病毒傳播階段,針對公司内部員工(gōng)的訪看城問權限問題
由于一般的公司隻知道控制邊界訪問權限,無法防止内網冷請橫向訪問帶來的安全風險,黑客便會(huì)通(tōng)過普通(tōng)什些員工(gōng)的訪問權限進入内網,再利用唱微内網某些薄弱的系統做跳闆,最終獲取到公司内部的網絡數據;而雲湧零信任則鐵國基于用戶身份細顆粒度授權,不(bù)同職責的用戶授予不(藍輛bù)同内網服務的訪問權限。例如(rú)不(b白道ù)會(huì)允許行政部門員工(gōng)遠程訪問CRM系統 ,或僅允月土許合作夥伴訪問某一個必要的内網服務等。
3.盜号竊取階段,針對身份認證
H雖然通(tōng)過各種複雜手段成功盜取多個賬号密碼,并東兒最終獲得(de)軟件下載權限,但是雲湧零信任通(tōng)過SDP務車軟件定義邊界,打破傳統的網絡物理邊界,先認證後訪問服務隐藏,對未授權用戶及花畫設備完全不(bù)可見,單包敲門,服務僅對合法身份開(kāi術城)放訪問端口,此外IAM可增強身份識别與訪問管理,基于身份細顆粒度的訪問授權線兒最小訪問權限控制,做到動态授權與持續審計,這樣H即使盜取多個外有賬号也無法通(tōng)過身份認證,更别提最終竊取軟件了。
總而言之,雲湧零信任安全管理平台森音是基于先進的零信任理念即永不(bù)信任、始終驗證原則,采用S體服DP軟件定義邊界網絡安全架構,通(tōng)過服森體務隐藏及單包敲門技術、細顆粒度最小授權管理及風險動态識哥懂别能力,通(tōng)過微隔離、防數據洩漏等手段,提供安全可靠的網絡接入與兵跳訪問控制,打造平台級的身份與數據安全管控系統,解決企業遠程網絡接作綠入安全,以及企業工(gōng)業設備的南北向數據接入安全以及對坐東西向數據訪問安全。
雲湧零信任安全管理平台除了可廣冷我泛應用于遠程網絡訪問與授權管理之外,還可以匠劇應用在物聯網數據上雲、邊緣計算設備安全管控等場景。想了解更多關于雲湧零信任安全煙市管理平台的内容,請登錄網站https://www.yyztn.com/查看,而且還有免費試用平台可供體驗,歡迎垂詢!
關于雲湧
雲湧科(kē)技是一家(jiā)以嵌入式技術為(wèi)背景,姐玩提供工(gōng)業信息安全和工(gōng)業物聯網解決方案電做的高新技術企業。公司2004年成立,總部位于江蘇泰州,在北京老樹、鄭州、南京,泰州、深圳設有研發中心。2020年在上海證券交易所科(kē)創街女闆成功上市(股票代碼688060)。
雲湧科(kē)技擁有成熟的基于ARM、PowerPC亮放、MIPS、龍芯、飛騰等嵌入式開(kāi)發平台,具備FPGA密碼卡設計,零信海玩任安全架構,可信計算等核心技術。産品包括:基于可信的工(gōng)業信息安關數全設備、加密卡及相關密碼組件、基于零信任的邊緣計算機及工(g書西ōng)業物聯網方案。在能源電力、交通(tō快朋ng)物流、石油石化、智慧城市等行業,雲湧科子務(kē)技不(bù)斷為(wèi)客戶提供更好(hǎo)的産品和技術服務,拿民與客戶合作共赢,聚創未來。
- 分類:行業動态
- 作者:
- 來源:
- 發布時(shí)間:2021-03-26
- 訪問量:969
零信任網絡的模型是約翰·金(jīn)德維格在201可火0年創建的,當時(shí)他(tā)還是煙酒機構Forrester的分析師。如商樹(rú)今11年過去了,随着零信任的支撐技術逐漸成為(風化wèi)主流,防護企業系統及數據安全的壓力也越來越大(dà)火亮,再加上網絡攻擊演變得(de)更加複雜,零信窗他任模型也在CIO、CISO和其他(tā)企業高管中間越加流行了。
時(shí)至今日,零信任已經不(bù)再冷門。又拍但是還有很多人不(bù)太理解零信任,那零信任是什麼計工呢?
「零信任」是一種安全理念,它建立在一個簡單的、衆務理所周知的前提之上:不(bù)信任網絡内部和北又外部的任何人/設備/系統;不(bù)信任傳統網絡邊界保護區吧,而代之以微邊界保護。零信任要求将用戶的訪問權限限制為(wèi)得好完成特定任務所需的最低(dī)限度,在組織内部重構以身份為(wè朋空i)中心的信任體系和動态訪問控制體系,建立風金企業全新的身份邊界,即微邊界。零信任的關鍵在于控制對數據學爸的訪問權限,而與數據所在的位置無關,與訪問發起者的位置無關。零信任的做法短得是先信任,後連接,隻有通(tōng)過動态的認證和授權,才可能發起對數據話從資(zī)源的訪問連接,這和傳統網絡安全先連接後信任的方市水法有主要區别。
随着零信任概念的不(bù)斷普及,大(dà)部分人對于零信任的了飛姐解還停留在概念層面,知道零信任有哪些能力,但不(國放bù)知道零信任到底怎麼解決實際問題的。
圖片來源:BeyondCorp: A New Appro話通ach to Enterprise Sec話草urity, Google
其實,零信任本身是非常落地的,零信火聽任架構BeyondCorp就是谷歌公司根據自身的攻防實踐總結出來的,且紙近一直沿用至今,可謂效果顯著。谷歌将BeyondCorp項目的目标設問可定為(wèi)“讓所有谷歌員工(gōng)從不(bù)受信任的網絡中不(bù)靜山接入VPN就能順利工(gōng)作”。盡管聽起來像是要解決遠程接入微玩的安全問題,BeyondCorp實際上是抛棄了爸照對本地内網的信任,進而提出了一個新的方案,取代基于網絡邊界構築安全新大體系的傳統做法。BeyondCorp的落腳點是網絡不(bù)可信,因而在于對草線人和設備的管理、認證、授權和訪問控制;而“零信任模型”着眼的是網絡流量不(務綠bù)可信,從而着眼的是對不(bù)同網絡流量的很得隔離,并分别進行安全掃描和處理。
接下來,我們(men)以一個黑客的件的視角,來看看是如(rú)何攻擊公司網絡獲得(de)機密的(改編作靜自Ed Skoudis 的《黑客攻防演習》中的案例)。
大(dà)家(jiā)好(hǎo),我叫H(Hack技還er簡稱),是從事三年的職業黑客,平時(shí)的愛好(hǎo)除了相機在網上沖浪,就是四處周遊,酷愛挑戰極限運動,這大(dà)概也是時業我從事黑客的原因吧。有一天,一個戴着墨鏡身着西裝的中年男士找到我,也不(bù)醫妹羅嗦,直接提出需要我拿(ná)到G公司的“命根子(子知zǐ)“——Sofer軟件新版本的全部源代碼,事成之後便會(huì)支司我付給我大(dà)筆現款。且不(bù)管對方是誰,無非是涉及到商業競争章船,反正報酬異常豐厚,幹就完了。
事先我就知道G公司的網絡安全産品熱門是業界聞名的,所以入侵會(huì)有一定的難度,而且安全公司與政府的這美關系都不(bù)錯(cuò),所以我也深知工(gōng)作的自劇危險性。隻有做到不(bù)留任何痕迹才是完成任務并嗎樹保護好(hǎo)自己的唯一方式。于是,我通(tōng)過網上搜索,查北區詢到G公司所有的Sofer軟件的源代碼都存儲在黑外公司網絡上的源代碼倉庫内,而且源代碼管理是公司的核心秘密,網絡由男員複雜的安全網關保護,别說(shuō)是外部人員,即使内部人員用相進入也是關卡重重,更别說(shuō)我要做到不(bù)留痕迹了得照,簡直是難于上青天。
但值得(de)慶幸的是,我了解到G公司的員商通工(gōng)遍及多個國家(jiā),作為(wèi)高科(kē紅民)技的軟件公司,很多編程人員習慣在家(jiā)辦公,他(tā)書相們(men)通(tōng)過VPN連接到公司,經過簡單的用劇這戶名和密碼驗證後就可以訪問公司内部網絡資(zī)源,不(bù)僅可以收發音生公司郵件,還可以處理公司業務,而且很多程序員每天都會(huì)下載需要編輯吧場的源代碼文件,然後上傳。這便給了我可乘之機。
H把他(tā)的工(gōng)作做了如(事一rú)下安排:
準備階段
為(wèi)了掩藏自己,我找到了一個不(bù票化)錯(cuò)的位置作為(wèi)工(gōng)作場所,通(t討說ōng)過某小學旁邊的網絡可以無線接入訪問互學你聯網,接入網絡之後便通(tōng)過Nessus漏洞掃描件務器(qì),搜索到南京一所大(dà)學裡有個被木(mù)馬感染的Web服務器(兵可qì),由于安裝木(mù)馬的那個家(jiā)夥山雜沒有好(hǎo)好(hǎo)保護自己的“果實“,所以我不(bù)費吹灰之力便猜問近到了密碼,并搶占了這台服務器(qì)的控制權;接下來,我又在深近筆圳的一家(jiā)商業網站上找到了一台很”弱智務現“的Linux服務器(qì),上面還有個MYSQL數據庫,我毫不空爸(bù)猶豫地納入囊中,這樣我便有了兩個可以指揮的“沖鋒戰士”,自己現的就可以退居二線,運籌帷幄。
偵查階段
其實這期間我也下了不(bù)少功夫,比高資如(rú)學習G公司的網站,而且通(tō地事ng)過在各種互聯網博客、論壇等新媒體平台搜尋,找到了大(樂器dà)部分G公司員工(gōng)發表的文章,雖然文章大(d醫刀à)部分都是一些技術交流以及非商業性質的術志讨論與建議,偶爾也有涉及到公司網絡結構的文章,但是我更關心的是,他外訊(tā)們(men)都留下了真實的郵箱地址,所以我飛的很快便猜出了G公司郵箱的命名規則,還意外找到了公司部分銷售機構的通(t喝什ōng)訊(xùn)錄,在收集了大(dà)又內約200個G公司的郵箱地址後,我開(kāi)始準備下一個階段的呢件工(gōng)作了。
釣魚階段
既然是釣魚,我得(de)先準備魚餌短數,我發現大(dà)多數碼農都有上班時(shí)間玩遊戲的生制愛好(hǎo),正好(hǎo)我手裡有一款刀謝不(bù)錯(cuò)智力攻關型的遊戲軟件,以前是自己在無聊的時(shí)候編線民寫的,從沒有給人看過,也就平常自己玩玩,樹校現在正好(hǎo)派上用場。于時(shí)我把這款遊麗算戲放到深圳的那台服務器(qì)上,然後申請注冊了一個網絡域著看名,在服務器(qì)上開(kāi)啟遊戲我南下載服務,還建立了所謂的公司服務郵箱,接下金報來指揮南京的服務器(qì)給“精選”出來的20名G公司員工(gōng)的刀郵箱發出了誘惑郵件,大(dà)緻就是需要高手關自來挑戰之類的免費試玩遊戲,而郵件中的遊戲下載鍊接指向深圳的服務器(qì和新),當然了,考慮到G公司郵件服務器(qì來算)上的發垃圾過濾功能,我不(bù)會(huì)給章時所有人都發郵件。他(tā)們(men)在下載遊戲的同時(shí)大冷,也把我事先采用打包軟件工(gōng)具和遊戲軟數很件打包在一起的木(mù)馬程序一并下載了,而且為(wèi)了安全起見,這個木學暗(mù)馬程序是我單獨設計的,可以保證不(bù些商)被G公司的反病毒軟件發現。
接下來便等魚兒上鈎,果然沒多久,就老讀有一個員工(gōng)下載了遊戲,即使對方執行遊戲之前湖這用了反病毒軟件進行了檢查,也沒有發現任何問題,他(t子鐵ā)沒有注意到的是,遊戲開(kāi)始的同時(shí),我的木(mù)馬後票那門程序也開(kāi)始工(gōng)作了,就這樣,老子釣魚完成。
病毒傳播
接下來,該員工(gōng)隻舞吧要重新建立了與公司的VPN連接,木(mù)馬就可以生書通(tōng)過VPN鍊路掃描公司網絡,找到了一個Windows文件共享目錄飛司,裡面有很多員工(gōng)常用的軟件,然後把其中低化有個員工(gōng)常用文字編輯notepad.exe軟件改名為(wèi)n車冷n.com,再把自身複制後上傳為(wèi)notepad.exe志冷,就這樣,木(mù)馬最後便堂而皇之地從VPN用戶傳播到了公司雪線内部的網絡上。公司其他(tā)員工(gōng)如(rú)果調用新國notepad.exe,木(mù)馬就先複制自己,再書紙調用nn.com,所以很快,木(mù)馬病毒和長在用戶感覺不(bù)到異常的情況下,開(kā得電i)始在G公司網絡内部四處傳播。
盜号竊取
我的木(mù)馬還有一個任務就是收集系統内存放密碼的文件,通(t日腦ōng)過用戶建立新連接的鍵盤記錄,過濾出用戶ID和密碼,很快南京的服我城務器(qì)上就收集了500多個密碼散列,當然,我并沒有直接到如分南京的服務器(qì)上去破譯這些密碼,那樣很容易被追查到他少,而是通(tōng)過建立網絡連接的“中繼站”,安裝Covert_TCP服務店弟器(qì)軟件以及選擇不(bù)容易被懷疑的知名自請商業網站作為(wèi)跳點這一系列方式,建立海人了“TCP ack”彈躍模式的訪問通(tō西答ng)道,使用遠程命令方式訪問南京的服務討光器(qì)。最終利用破解工(gōng)具成問影功獲取了50個密碼,這裡面還包括一些高級管理人員的ID和密碼,我利用這些剛破譯讀低的密碼,成功從南京的服務器(qì)上以“合法身份”登錄到G公司的VPN就現網關,并進入内部網絡,掃描并找到Sofer軟件的位置所在。由于高術G公司内部網絡的安全監控系統很強大(dà),為(靜謝wèi)了避免高頻率的發包掃描被安全管理人員發現,我還水志不(bù)忘利用自己手裡上萬個僵屍機器(qì)對G公司的外部網站進行間歇性的D音土DOS攻擊來分散注意力,采用分布式、間歇式的掃描方式,緩慢地探測。所以最終短銀在定位了Sofer軟件的位置後,加上有不(bù)斷提供的“黑土密碼支持”,我成功取得(de)了代碼倉庫的下載權限,沒有幾天,我便通(道新tōng)過間接途徑把全部代碼逐步下載到自己的系統中。
收尾拿(ná)錢
取走源碼之後,我還不(bù)忘删除自己的入侵軌迹,下達木(mù)馬信拿自行毀滅的指令,并删除了日志。交貨時(shí)機朋,看到西裝男拿(ná)到光盤時(shí)驚喜的眼神,我特别明也有成就感,點着厚厚的鈔票,開(kāi)始計劃着自街件己的夏威夷之旅……
通(tōng)過這個案例中職業答用黑客H的“出更”經曆來看,我們(men)不(bù計刀)難發現G公司在網絡安全管理的漏洞:員工(gōng)網絡安全意識薄弱、内網長行權限劃分不(bù)合理、安全管理人員憂患意識與防護經驗欠缺相熱……以上都為(wèi)H竊取軟件源碼提供了先決條件,那麼接下來我們(men)就妹用以案例中G公司的網絡安全管理漏洞為(wèi)觸點來講講雲湧零信任自喝是如(rú)何解決網絡安全實際問題的。
1.釣魚階段,針對木(mù)馬的攔截
即使在員工(gōng)自行下上知載木(mù)馬的情況下,雲湧零信任客戶端會(中計huì)主動在其進入内網前主動檢測到設備的安全能力是否開(kāi)啟以及設冷女備是否處于安全狀态,這樣便會(huì)讓木(mù)馬無所遁形,一經發現便會(h知線uì)及時(shí)被處理。
2.病毒傳播階段,針對公司内部員工(gōng)的訪問權限問題
由于一般的公司隻知道控制邊界訪問權限,無法房訊防止内網橫向訪問帶來的安全風險,黑客便會(huì)通(tōn相通g)過普通(tōng)員工(gōng)的訪問權限進入内網,再利用内網會工某些薄弱的系統做跳闆,最終獲取到公司内部的網絡數據;而雲湧零信任則體河基于用戶身份細顆粒度授權,不(bù)同職責的用戶授予不(bù)同内村是網服務的訪問權限。例如(rú)不(bù)會(huì)允許行政部門員工(gōn議南g)遠程訪問CRM系統 ,或僅允許合作夥伴訪問某一個必要的内網服家些務等。
3.盜号竊取階段,針對身份認證
H雖然通(tōng)過各種複雜手段成功盜取多個賬号密碼,并最終獲得笑做(de)軟件下載權限,但是雲湧零信任通(跳空tōng)過SDP軟件定義邊界,打破傳統的網絡頻爸物理邊界,先認證後訪問服務隐藏,對未授權用戶及設員厭備完全不(bù)可見,單包敲門,服務僅對合法身份開頻腦(kāi)放訪問端口,此外IAM可增強身份識别與訪問管理,基還鐵于身份細顆粒度的訪問授權最小訪問權限控制,做到動态授空時權與持續審計,這樣H即使盜取多個賬号也無法通(tōng)過身份認證,更别體暗提最終竊取軟件了。
總而言之,雲湧零信任安全管理平台是基綠動于先進的零信任理念即永不(bù)信任、始終驗證原則,采用SDP老那軟件定義邊界網絡安全架構,通(tōng)過服務隐藏及單包敲門技術、細間兵顆粒度最小授權管理及風險動态識别能力,通(tō書相ng)過微隔離、防數據洩漏等手段,提供安全可靠的網人遠絡接入與訪問控制,打造平台級的身份與數據安全管控系統,解決企業我她遠程網絡接入安全,以及企業工(gōng)業設備的南北向數據來光接入安全以及東西向數據訪問安全。
雲湧零信任安全管理平台除了可廣泛應用于遠程網絡近場訪問與授權管理之外,還可以應用在物聯網數據上雲、邊緣計算設備安全管控等場景商懂。想了解更多關于雲湧零信任安全管理平台的内那議容,請登錄網站https://www.yyztn.co這這m/查看,而且還有免費試用平台可供體驗,歡迎垂詢!
關于雲湧
雲湧科(kē)技是一家(jiā)以嵌入式技好什術為(wèi)背景,提供工(gōng)業信息安全和工(gō睡問ng)業物聯網解決方案的高新技術企業。公司2數拿004年成立,總部位于江蘇泰州,在北京、鄭州、南京,泰州、深圳設有研發中心我資。2020年在上海證券交易所科(kē)創闆成嗎服功上市(股票代碼688060)。
雲湧科(kē)技擁有成熟的基于AR信雜M、PowerPC、MIPS、龍芯、飛騰等嵌入式可黑開(kāi)發平台,具備FPGA密碼卡設計,店了零信任安全架構,可信計算等核心技術。産品包括:基于可信的工這朋(gōng)業信息安全設備、加密卡及相關密碼組相視件、基于零信任的邊緣計算機及工(gōng我生)業物聯網方案。在能源電力、交通(tōng)物流、石油石化、智慧城市等行業,好習雲湧科(kē)技不(bù)斷為(wèi)客戶提供更黑現好(hǎo)的産品和技術服務,與客戶合作共赢,聚創未來。