专栏首页安恒信息运维安全中的“福尔摩斯”

运维安全中的“福尔摩斯”

引 言

随着互联网技术的发展,信息的交互越来越频繁,随之而来信息的安全、运维操作的合规性等等问题越来越多,其对于企业内部管理来说要求越来越高。2015年某某网宕机事件,由于内部人员的越权操作,导致该网及APP全线瘫痪约12小时,直接损失近1200万美元;2016年,杭州男子曹某某,利用工作用的运维账号,窃取浙60万学生信息贩卖给他人。

其实,我们的一些客户在使用堡垒机的过程中,可能也会碰到类似的事件,并且都通过堡垒机找到了相关的作案人员,下面我们分享三个发生过的案例

案例一

误操作导致主机异

某政务网客户发现其内部一台重要服务器上出现异常报警,技术人员对该服务器排查,发现该服务器中某重要文件被人重命名。

该客户部署有安恒堡垒机,所有运维人员操作全部需要经过堡垒机,通过事件查询,搜索关键字,发现了符合事故现场的一条文件更名操作。

通过对该SFTP会话日志反查,确定为该公司员工王某操作,经过对当事人询问,确认为无意操作导致

风险警示

加强权限关系的梳理,完善运维管理规范制度。

案例二

违规操作致使服务故

某大型互联网客户监测到一台内部服务器服务故障,通过对该服务器系统日志分析,发现8月31日14:30分左右有人登录过这台LVS服务器进行操作,导致服务故障。

根据客户提供的服务器history日志相关信息,可以看到有人对该服务器keepalived的操作记录存在异常。我们通过安恒堡垒机事件查询,输入关键命令,时间区间,最终搜索定位出可疑会话日志,通过对录像的回放,还原了整个事故发生的全过程,并确认是内部员工唐某所为,且存在违规操作。

风险警示

对重要、高危、敏感的指令预先定义好命令控制策略,可以设置阻断、告警等行为,一旦触发策略就自动通知管理员。

案例三

利益熏心,窃取数

某知名互联网金融企业,发现其某服务器中存储的重要数据,存在非法下载行为,重要客户数据存在外泄风险。

该企业部署有安恒堡垒机系统,我方技术人员协助其进行审计分析排查,发现了该服务器中某文件存在被下载的行为,经过确认,与客户发现的非法下载行为一致。

通过会话日志反查操作用户,最终找到该行为的操作人员李某,其也承认是自己一时利益熏心,想利用运维账号窃取客户信息进行售卖。

险警示

针对存有核心数据文件的服务器,请在堡垒机里设置文件传输控制策略,禁止没有访问权限的人。如下图:

网络安全专家建议

  • 细化运维人员与主机授权关系
  • 开启双因子认证,提高身份可靠性
  • 重要服务器启用二次会话审批
  • 重要命令,高危命令进行审批及限制
  • 重要数据服务器,限制文件的上传下载

- END -

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-09-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 下一代堡垒机如何管理成千上万台服务器

    对管理和运维成千上万台服务器来说,用户都是既想安全又想便捷。但是安全与便捷通常都是矛盾的,因为安全性越高,意味着便捷度越低。 ? 要实现“统一认证、统一管理、...

    安恒信息
  • 黑客新手入侵云服务器仅需4小时

    外国媒体发表文章对云服务器的安全性做了剖析,以下为文章内容摘要:入侵云服务器需要多长时间?为了探究这一问题答案,云安全创新企业CloudPassage联接6台...

    安恒信息
  • 恶意Word附件影响Windows和Office 微软提供临时修复方案

    微软已经推出了标号为2896666的安全公告,主要针对伪装成一封电子邮件并要求打开一个特制的Word附件的潜在威胁。在正式的安全修复工作完成之前,...

    安恒信息
  • 网站安全知识 如何防止被黑客入侵

    在这里我跟大家分享一下关于服务器安全的知识点经验,虽说我很早以前想过要搞黑客技术,然而由于种种原因我最后都没有搞黑客技术,但是我一直都在很留意服务器安全领域的。

    技术分享达人
  • 雅虎军规最后一天

    主要是在一个文件了只需要一个HTTP请求,但是又说有些是不支持的,例如iPhone。

    wade
  • MySQL组复制(MGR)全解析 Part 3 组复制机制细节

    故障检测器(failure detector)是一个分布式的服务,用来为哪些服务器故障(怀疑)提供信息

    bsbforever
  • 直播代码是如何工作的,不同服务器之间的区别

    简单来说直播的原理就是把主播录好的内容实时推送到服务器,再由服务器分发给各个用户进行观看。直播发展到如今,由PC端的网页版直播到如今的移动端直播,越来越多直播功...

    云豹kj的晨曦
  • 网站服务器安全防护 防止被黑客攻击经验的分享

    在这里我跟大家分享一下关于服务器安全的知识点经验,虽说我很早以前想过要搞黑客技术,然而由于种种原因我最后都没有搞黑客技术,但是我一直都在很留意服务器安全领域的。

    网站安全专家
  • Nginx 负载均衡原理简介与负载均衡配置详解

    客户端向反向代理发送请求,接着反向代理根据某种负载机制转发请求至目标服务器(这些服务器都运行着相同的应用),并把获得的内容返回给客户端,期中,代理请求可能根据...

    授客
  • 全球首款全链条AI语音芯片:给机器人造颗真“芯”

    事实上,“AI取代人类、人类因此失业”这逐渐被证明是一种误读。据调查,随着人口老龄化、全球范围内的出生率下降,未来十年左右全球范围将出现巨大的劳动力缺口,人力成...

    新智元

扫码关注云+社区

领取腾讯云代金券