内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中。因此,了解攻击者的操作流程,对内网数据安全防护工作至关重要。
内网数据防护的第一步,就是要熟悉攻击者获取数据的流程。在实际的网络环境中,攻击者主要通过各种恶意方法定位公司内部各相关人员的机器,从而获得资料、数据、文件。定位的大致流程如下。
重点核心业务机器是攻击者比较关心的机器,因此,我们需要对这些机器采取相应的安全防护措施。
? 在内网中,攻击者经常会在进行基于应用与文件的信息收集,包括一些应用的配置文件、敏感文件、密码、远程连接、员工账号、电子邮箱等。从总体来看,攻击者一是要了解已攻陷机器所属人员的职位(一个职位较高的人在内网中的权限通常较高,在他的计算机中会有很多重要的、敏感的个人或公司内部文件),二是要在机器中使用一些搜索命令来寻找自己需要的资料。
? 针对攻击者的此类行为,建议用户在内网中工作时,不要将特别重要的资料存储在公开的计算机中,在必要时应对Office文档进行加密且密码不能过于简单(对于低版本的Office软件,例如Office 2003,攻击者在网上很容易就能找到软件来破解其密码;对于高版本的Office软件,攻击者能够通过微软SysInternals Suite套件中的ProcDump来获取密码)。