运维安全中的“福尔摩斯”

引 言

随着互联网技术的发展，信息的交互越来越频繁，随之而来信息的安全、运维操作的合规性等等问题越来越多，其对于企业内部管理来说要求越来越高。2015年某某网宕机事件，由于内部人员的越权操作，导致该网及APP全线瘫痪约12小时，直接损失近1200万美元；2016年，杭州男子曹某某，利用工作用的运维账号，窃取浙60万学生信息贩卖给他人。

其实，我们的一些客户在使用堡垒机的过程中，可能也会碰到类似的事件，并且都通过堡垒机找到了相关的作案人员，下面我们分享三个发生过的案例

案例一

误操作导致主机异常

某政务网客户发现其内部一台重要服务器上出现异常报警，技术人员对该服务器排查，发现该服务器中某重要文件被人重命名。

该客户部署有安恒堡垒机，所有运维人员操作全部需要经过堡垒机，通过事件查询，搜索关键字，发现了符合事故现场的一条文件更名操作。

通过对该SFTP会话日志反查，确定为该公司员工王某操作，经过对当事人询问，确认为无意操作导致

风险警示

加强权限关系的梳理，完善运维管理规范制度。

案例二

违规操作致使服务故 障

某大型互联网客户监测到一台内部服务器服务故障，通过对该服务器系统日志分析，发现8月31日14:30分左右有人登录过这台LVS服务器进行操作，导致服务故障。

根据客户提供的服务器history日志相关信息，可以看到有人对该服务器keepalived的操作记录存在异常。我们通过安恒堡垒机事件查询，输入关键命令，时间区间，最终搜索定位出可疑会话日志，通过对录像的回放，还原了整个事故发生的全过程，并确认是内部员工唐某所为，且存在违规操作。

风险警示

对重要、高危、敏感的指令预先定义好命令控制策略，可以设置阻断、告警等行为，一旦触发策略就自动通知管理员。

案例三

利益熏心，窃取数 据

某知名互联网金融企业，发现其某服务器中存储的重要数据，存在非法下载行为，重要客户数据存在外泄风险。

该企业部署有安恒堡垒机系统，我方技术人员协助其进行审计分析排查，发现了该服务器中某文件存在被下载的行为，经过确认，与客户发现的非法下载行为一致。

通过会话日志反查操作用户，最终找到该行为的操作人员李某，其也承认是自己一时利益熏心，想利用运维账号窃取客户信息进行售卖。

风

险警示

针对存有核心数据文件的服务器，请在堡垒机里设置文件传输控制策略，禁止没有访问权限的人。如下图：

网络安全专家建议

• 细化运维人员与主机授权关系
• 开启双因子认证，提高身份可靠性
• 重要服务器启用二次会话审批
• 重要命令，高危命令进行审批及限制
• 重要数据服务器，限制文件的上传下载

- END -