内网渗透测试基础——敏感数据的防护

发布时间:2023年12月20日

内网渗透测试基础——敏感数据的防护

内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中。因此,了解攻击者的操作流程,对内网数据安全防护工作至关重要。

1.1 资料、数据、文件的定位流程

内网数据防护的第一步,就是要熟悉攻击者获取数据的流程。在实际的网络环境中,攻击者主要通过各种恶意方法定位公司内部各相关人员的机器,从而获得资料、数据、文件。定位的大致流程如下。

  • 定位内部人事组织结构
  • 在内部人事组织结构中寻找需要要监视的人员。
  • 定位相关人员的机器。
  • 监视相关人员存放文档的位置。
  • 列出存放文档的服务器的目录。

1.2 重点核心业务机器及敏感信息防护

重点核心业务机器是攻击者比较关心的机器,因此,我们需要对这些机器采取相应的安全防护措施。

1. 核心业务机器
  • 高级管理人员、系统管理员、财务/人事/业务人员的个人计算机。
  • 产品管理系统服务器。
  • 办公系统服务器。
  • 财务应用系统服务器。
  • 核心产品源码服务器(IT公司通常会架设自己的SVN或者GIT服务器)。
  • 数据库服务器。
  • 文件服务器、共享服务器。
  • 电子邮件服务器。
  • 网络监控系统服务器。
  • 其他服务器(分公司、工厂)。
2. 敏感信息和敏感文件
  • 站点源码备份文件、数据库备份文件等。
  • 各类数据库的Web管理入口,例如phpMyAdmin、Adminer。
  • 浏览器密码和浏览器Cookie。
  • 其他用户会话、3389和ipc$连接记录、“回收站”中的信息等。
  • Windows无线密码。
  • 网络内部的各种账号和密码,包括电子邮箱、VPN、FTP、TeamView等。

1.3 应用与文件形式信息的防护

? 在内网中,攻击者经常会在进行基于应用与文件的信息收集,包括一些应用的配置文件、敏感文件、密码、远程连接、员工账号、电子邮箱等。从总体来看,攻击者一是要了解已攻陷机器所属人员的职位(一个职位较高的人在内网中的权限通常较高,在他的计算机中会有很多重要的、敏感的个人或公司内部文件),二是要在机器中使用一些搜索命令来寻找自己需要的资料。

? 针对攻击者的此类行为,建议用户在内网中工作时,不要将特别重要的资料存储在公开的计算机中,在必要时应对Office文档进行加密且密码不能过于简单(对于低版本的Office软件,例如Office 2003,攻击者在网上很容易就能找到软件来破解其密码;对于高版本的Office软件,攻击者能够通过微软SysInternals Suite套件中的ProcDump来获取密码)。

文章来源:https://blog.csdn.net/weixin_41905135/article/details/135104027
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。