Kate Li (Taiwan)的部落格

首頁

有內鬼,停止交易

作者 morcillo 時間 2020-04-04
all

隨著經濟的快速發展,各類辦公大樓的數量也在迅猛增長,增長的背後是各種大小型企業的辦公需求,新型行業的興起,越來越多的公司規模擴大以及滿腔熱血的創業者。各類公司的發展壯大,伴隨的安全問題也隨之增多。

題圖.jpg

隨著經濟的快速發展,各類辦公大樓的數量也在迅猛增長,增長的背後是各種大小型企業的辦公需求,新型行業的興起,越來越多的公司規模擴大以及滿腔熱血的創業者。各類公司的發展壯大,伴隨的安全問題也隨之增多。

一、辦公室WiFi安全

無線網路現在已經是絕大多數公司辦公的重要設施,它的普及讓公司辦公更加方便和快捷,但是近些年的WiFi安全事件也逐漸增多。好多WiFi的不安全設置及隨意給他人連接,會導致WiFi出現各種安全問題。

今年五月份去一家公司代取檔案,去早了就在大廳等人,閑餘時詢問了一下該公司WiFi密碼,旁邊的兄弟很大方的告訴了我。連上WiFi後便順手掃了一下該網段相關資產資訊。共23個IP,開放77個埠,這裡顯示漏洞數7個,但實際上在我看來遠不止這些。

WiFi掃描.png

粗略分析後發現該網段有三臺服務器,其他基本都是電腦連接,隨手登入了一個服務器IP的8000埠,就是後臺admin/admin口令直接進入,存在大量敏感資訊,並且後臺可能存在其他諸如文件上傳和注入漏洞。

WiFi後臺登入.png

由於沒有授權,故只分析到這裡,臨走時也給該公司反映了一下。這裡也總結以下幾點建議,讓公司WiFi更安全。

1.公司WiFi應做好辦公和訪客分離,不應把辦公WiFi密碼隨意告知來訪人員。

2.對連接辦公WiFi的設備做好記錄管理,綁定對應設備的MAC地址。

3.禁止員工自行啟用WiFi熱點。

4.對辦公網絡設定SSID。

二、辦公室外來人

對辦公室外來人的身份確認不容忽視,好多大公司,對於他們的產品WEB網站及一些APP等其他業務,安全防禦都基本到位。出問題時往往是企業內部的資訊洩露,直接危害公司利益。

世界頭號駭客米特尼克在他的自傳《線上幽靈》中描述過這樣一個情節:他曾以向一名公司雇員投遞信件為由,看到了該公司職員的胸卡,“照片在胸卡左上角,照片下麵是他們的名字,姓氏在前,字體加粗。公司的名字在胸卡底部,採用紅色加粗字體”。之後在網站下載了該公司的logo圖片,花了20分鐘時間,ps了一張看起來一模一樣的胸卡。

胸卡.jpg

之後在該公司停車場中,偷偷觀察著一群群出來解饞的烟鬼們,所製造的彌漫煙霧,大約五六個人的一群烟鬼開始動身返回大樓時,凱文也選定了這個時機。當隊伍逐一穿門而入時,最後進去的人發現後面還有人,瞄了一眼他的胸卡,就給他留了門。成功進入了目標組織大樓後,凱文盜取一名工程師的電腦帳號,可以控制工程師電腦上的任何操作,隨後又拿到了域控服務器以及多臺SQL Server服務器,裡面存儲著加密信用卡號碼的金鑰,數以百萬計的信用卡資訊均可使用。

類似的案例還有很多,對於公司來講,一次嚴重的資訊洩露,就有可能對公司造成巨大的不利影響和直接經濟損失。所以對於公司的外來人員,應該進行詢問或者前臺登記;進入公司時,注意隨手關門。

這裡提幾點小建議:

1.進入大門注意是否有尾隨人員。

2.進入公司應隨手關門。

3.公司外來人員應在前臺登記,並說明來由。

4.離開電腦時應及時鎖屏。

5.電腦口令密碼避免寫在紙上。

三、辦公VPN連接安全

隨著移動互聯網的發展,企業不斷尋求安全的保護內部網絡資訊管道,VPN連接為企業的安全做了極大保護。可是正如《荀子·哀公》中說“水能載舟,亦能覆舟”一樣,每個事物都有它的利弊性,關於VPN洩露及弱口令的安全事件層出不窮。

2016年,某省VPN密碼洩露導致內網漫遊事件,由於員工通道洩露,攻擊者從該網址找到VPN及測試帳號,測試登入成功,成功進入內網,查看了大量敏感資訊。

類似事件常有出現,之前也有某公司爆出VPN弱密碼可進入內網事件,admin/admin口令就可直接登入成功。

1.儘量使用現時市面上已經完善的VPN設備,可開啟兩步驗證,使用强密碼。

2.如果使用自己搭建的VPN,建議密碼設定為强密碼。

3.VPN口令不能告知公司以外人員。

4.保證VPN資訊的安全存儲,建議不要存儲在網站頁面。

5.不使用不受信任的VPN。

四、辦公室電子設備安全

現在的辦公環境中,離不開手機電腦等一些電子設備。在這些設備提供便利的同時,也存在著危險隱患。大多數公司可能會忽視關於電子設備的安全,但一旦出現問題,可就是當頭棒喝。

之前爆出的一則消息,由於公司員工的安全意識不强,隨手點擊了別人發給自己的惡意連結,導致自己的電腦被駭客入侵。進而又致使其入侵公司內網,導致公司大量敏感資訊洩露,該員工自己也被辭退。

員工安全意識不足,電腦沒有裝殺毒軟體和及時的安裝補丁,很容易遭到勒索病毒的攻擊,一個企業對於如果對安全意識制度建立不完善,導致的損失不僅僅是辭退一個員工就能解决的問題了。

對於此類事件,給大家幾點使用的安全建議:

1.及時更新系統和打補丁。

2.安裝殺毒軟體。

3.陌生人的郵件應在確認身份後,再進行點擊查看。

4.不隨意打開網絡上接收的不明檔案。

5.不輕易點擊網絡上的連結。

以下為企業增强員工安全意識的幾點建議:

1.對員工進行安全意識的培訓。

2.請安全專家對公司企業進行培訓。

3.進行增强安全意識的小活動。

4.對員工安全意識進行相應的小考核。

5.督促員工安全殺毒軟體和安全系統補丁。

6.對安全意識突出者做出相應獎勵。

五、個人辦公安全意識建議:

1.避免將口令寫在紙上,存放於辦公案頭,應將口令紙條放在保險箱裏,或使用一些存儲密碼的線上工具。

2.離開電腦時謹記鎖屏(windows下可使用win+L,MAC記得隨手合蓋)。

3.及時更新電腦系統和安裝補丁。

4.電腦安裝殺毒軟體。

5.在公共場合交談,差旅,應注意不洩露公司的敏感資訊。

6.陌生人的郵件應在確認身份後,再進行點擊查看。

7.在辦公區域拍照應注意避免拍到關於公司的敏感資訊。

8.列印檔案應注意檔案列印後及時删除。

9.會後應整理會場,擦黑板不遺留檔案,敏感檔案存櫃。

10.進入公司應隨手關門,防止公司無關人員尾隨。

11.科技人員應保存好程式碼,保證安全的情况下可上傳至線上網站。

12.公司WiFi應做好辦公和訪客分離,不應把辦公WiFi密碼隨意告知來訪人員。

13.辦公IM應做好消息加密,必要時公司可開發自己的專用通訊軟件。

14.VPN儘量不使用自己搭建的簡易VPN,現時市面上已經有完善的VPN設備,可開啟兩步驗證,保證VPN的登入安全,如果使用自己搭建的VPN,建議密碼設定為强密碼。

15.保證VPN資訊的安全存儲,建議不要存儲在網站頁面。