运维安全中的“福尔摩斯”

引 言

随着互联网技术的发展,信息的交互越来越频繁,随之而来信息的安全、运维操作的合规性等等问题越来越多,其对于企业内部管理来说要求越来越高。2015年某某网宕机事件,由于内部人员的越权操作,导致该网及APP全线瘫痪约12小时,直接损失近1200万美元;2016年,杭州男子曹某某,利用工作用的运维账号,窃取浙60万学生信息贩卖给他人。

其实,我们的一些客户在使用堡垒机的过程中,可能也会碰到类似的事件,并且都通过堡垒机找到了相关的作案人员,下面我们分享三个发生过的案例

案例一

误操作导致主机异

某政务网客户发现其内部一台重要服务器上出现异常报警,技术人员对该服务器排查,发现该服务器中某重要文件被人重命名。

该客户部署有安恒堡垒机,所有运维人员操作全部需要经过堡垒机,通过事件查询,搜索关键字,发现了符合事故现场的一条文件更名操作。

通过对该SFTP会话日志反查,确定为该公司员工王某操作,经过对当事人询问,确认为无意操作导致

风险警示

加强权限关系的梳理,完善运维管理规范制度。

案例二

违规操作致使服务故

某大型互联网客户监测到一台内部服务器服务故障,通过对该服务器系统日志分析,发现8月31日14:30分左右有人登录过这台LVS服务器进行操作,导致服务故障。

根据客户提供的服务器history日志相关信息,可以看到有人对该服务器keepalived的操作记录存在异常。我们通过安恒堡垒机事件查询,输入关键命令,时间区间,最终搜索定位出可疑会话日志,通过对录像的回放,还原了整个事故发生的全过程,并确认是内部员工唐某所为,且存在违规操作。

风险警示

对重要、高危、敏感的指令预先定义好命令控制策略,可以设置阻断、告警等行为,一旦触发策略就自动通知管理员。

案例三

利益熏心,窃取数

某知名互联网金融企业,发现其某服务器中存储的重要数据,存在非法下载行为,重要客户数据存在外泄风险。

该企业部署有安恒堡垒机系统,我方技术人员协助其进行审计分析排查,发现了该服务器中某文件存在被下载的行为,经过确认,与客户发现的非法下载行为一致。

通过会话日志反查操作用户,最终找到该行为的操作人员李某,其也承认是自己一时利益熏心,想利用运维账号窃取客户信息进行售卖。

险警示

针对存有核心数据文件的服务器,请在堡垒机里设置文件传输控制策略,禁止没有访问权限的人。如下图:

网络安全专家建议

  • 细化运维人员与主机授权关系
  • 开启双因子认证,提高身份可靠性
  • 重要服务器启用二次会话审批
  • 重要命令,高危命令进行审批及限制
  • 重要数据服务器,限制文件的上传下载

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-09-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

sqlserver、Mysql、Oracle三种数据库的优缺点总结

? 一、sqlserver 优点: 易用性、适合分布式组织的可伸缩性、用于决策支持的数据仓库功能、与许多其他服务器软件紧密关联的集成性、良好的性价比等; 为...

4666
来自专栏阮一峰的网络日志

防止网页被嵌入框架的代码

最近,国内开始流行另一种流氓行为:使用框架(Frame),将你的网页嵌入它的网页中。 比如,有一家网站号称自己是"口碑聚合门户",提供全国各个网上论坛的精华内容...

3364
来自专栏Debian社区

Chrome浏览器中新增反恶意软件广告功能

谷歌宣布在Chrome浏览器中新增三个安全功能,阻止网站在未经用户或网站所有人同意的情况下悄悄将用户重定向至新的网址。

1282
来自专栏编程思想之路

带你解锁蓝牙skill(一)

蓝牙这个专题,很值得深入研究,但又不是一篇两篇能说的清除,所以决定连载~~~ 不知道能坚持多久 在研究蓝牙源码之前,先来看看蓝牙大致都有什么功...

2638
来自专栏程序员互动联盟

我在苹果公司学到的编程技巧

当我还在苹果在线商店工作的时候,我们从来没有对在线网站做过负载测试。我们也不觉得需要这么做。然而,当每次史蒂夫·乔布斯在演示某个幻灯片过程中切换到在线商店时,会...

34112
来自专栏web前端教室

领读《深入浅出NODEJS》—第二章 模块机制

领读,领你读,把书的重点提出来。尝试以知识管理、快速阅读的方式来学习。 为什么要写这个类型的文章呢?第一是想要学习NODEJS了,第二是觉得之前写了那么多的学习...

2178
来自专栏吉浦迅科技

如何检测NVIDIA Jetson TX2硬件温度

2.输入以下指令查看温度,以下数字分别对应以上硬件,将数字除以1000得出实际温度(摄氏度)

1832
来自专栏Flutter入门到实战

从内涵段子被下架、快手禁用评论探讨其背后的技术细节

由于后台接口没有返回数据了,界面上自然都是空白,你看内涵段子上面的所有的列表的item都显示的是同一个View,就是下面的这个声明。其实只要把所有的item替换...

2392
来自专栏Crossin的编程教室

【Git 第1课】 什么是Git?

今天起,我会在微信推送文章里穿插一个新的系列:Git。和之前Python入门教程不同,这个系列需要有一点编程的经验。倒不是因为它很难,只是如果没有开发过稍大一点...

32610
来自专栏数据和云

Oracle 12.2以及版本计划

在刚刚结束的Oracle 38周年大会上,12.2版本的发布日期被披露出来,预计12.2将在2016年上半年发布,而相应的,Oracle 11.2.0.3版本的...

3559

扫码关注云+社区

领取腾讯云代金券