案例事實與背景
MRTG是一套紀錄網路流量的軟體,每10 分鐘紀錄網路的進出封包數量,以圖形的方法顯示使用紀錄,網路管理著名的軟體。沒料到它居然成為防駭抓漏的工具。
(一)一家著名的上市公司,員工的電腦數量超過1200台以上,其他伺服器也超過上百台。發生資安事件後,導致客戶的個資持續外洩,公司苦無良策,委託著名的資安公司鑑識,但是範圍太大了,經費有限。於是選擇由客戶自行決定可能範圍內的電腦,經過處理後仍舊找不出原因,事件依舊持續…
(二)公司內一位MIS員工,觀察MRTG的紀錄發現到一件異常的事件,對外使用的網路共有7條100M雙向網路, 其中一條線路在晚上的時候,流量無故增加了20K 左右,雖然非常小, 但卻引起注意,使用這條線路的設備不多,晚上更無人使用,追查下發現一部主機潛藏惡意軟體,後續就陸續找出其他潛藏的惡意軟體。
資安事件處理的經過
(一)經過訪談後了解了原因,原本公司使用的網路頻寬,有一半以上是應付阻斷服務攻擊(DDOS),經年累月持續的攻擊都沒有癱瘓網路,但這只是掩人耳目,其實駭客主要目的運用社交郵件攻擊植入惡意軟體進入公司網路潛伏與擴散。
(二)不同部門的網路建議予以區隔,功能類似潛艇的防水艙。一旦發生惡意軟體,容易識別也不容易擴散。
(三)公司使用應用軟體白名單,使用規定的軟體,不用來歷不明的軟體。
(四)視情況使用網路白名單,避免公司內部員工使用遠端桌面軟體,遭外部駭客利用,即使內部遭惡意軟體入侵,也無法與外界溝通接受指令。
(五) 由於公司電腦數量頗多,使用政府組態基準進行一致性的安全性設定。
(六) 公司內部仍有部份Windows XP 作業系統,建議予以汰除。
後續的追蹤
這家公司爾後就不再發生資安事件了,時至今日,每次談起這個案例,還是有人認為僅有20k的流量不足引起注意。不過,勿以量小而不為,就是異常,才需要去注意。
沒有留言:
張貼留言