如今,零信任不再是冷门。但大多数人对零信任的理解还停留在概念的层面,不知道零信任有什么功能,却不知道它究竟是如何解决实际问题的。事实上,零信任本身是很难落地的,著名的零信任架构BeyondCorp是谷歌公司根据自己的进攻实践总结出来的。在谷歌内,一直沿用到现在,效果非常明显。以下列举了一个黑客攻击实战案例,看看企业网络中有哪些问题。接着再看一下,零信任会如何面对相同的攻击。(根据《黑客行动》改编的案件)
第一,一次实战黑客攻击。(1)背景,艾尔法(化名)是一家国际知名的系统软件公司。公司的核心产品Hammer系统,产品质量行业第一。但哈默系统在为公司带来巨额收入的同时,也招致了许多同行的垂涎。小黑是个“客龄”三年的职业黑客。某日,一名穿西服老板模样的男子找到小黑,出价五百万,想要偷走Hammer软件下一版的全部源码。关于商业竞争的事情,小黑也不太明白,反正回报异常丰厚,小黑决定接受这份合同。
(2)收集资料。在袭击开始前,小黑全面收集了Alpha公司的信息。小黑在谷歌上搜索了许多Alpha公司员工的邮箱。小黑看了一下所有邮箱的前缀,很快就猜到了Alpha公司邮箱的命名规则——全名。通过网络搜索,小黑还发现了不少Alpha公司的大牛分享的技术帖子,其中包括许多Alpha公司的网络状况。小黑还意外地发现Alpha公司部分销售机构的通讯录出现在合作公司的网站上。经过大约200个公司的邮箱地址的收集,小黑觉得自己得到的信息差不多。
三、钓鱼。
为配合接下来的攻击行动,小黑做了一个假的网站游戏。小黑从之前收集的邮箱中挑选出10个(控制数量避免垃圾过滤),发了一封钓鱼邮件——免费尝试最新游戏。大体上,我公司正在测试一个新游戏,需要高手测试,你是高手游戏吗?过来试试该消息包含一个游戏下载链接。游戏文件当然要带木马。小明是一个年轻的码农,除了写代码,他还在玩游戏。某天早上,小明在查看公司的邮件时,发现了一封免费试玩的邮件,“酷!”小明赞叹道,内心的冲动让他决定去试一试。小明知道不能让公司抓到自己通过公司网络下载的游戏,所以,他先关掉公司的VPN连接,然后点击邮件里的链接下载游戏。小明下载了病毒,进行了扫描,没问题,就开始玩了。这款游戏是一款“绿色”的软件,不用安装,小明觉得很好,玩得很开心,还写信给“开发人员”提了一些建议。在游戏开始的同时,他当然没有注意到,木马后门程序已经开始工作。(小黑非常了解Alpha公司终端控制软件的威力,木马并没有在当地留下痕迹,而是被输入程序)
(4)传播。打了一会儿游戏,小明开始继续工作,于是打开VPN再次连接到公司。这时小明机器上的木马程序开始通过VPN链路扫描整个Alpha公司网络。不久,一台文件共享服务器被扫描,上面有许多员工常用的软件,还包括VPN客户机软件。这台服务器的安全管理非常糟糕,小黑们没有费劲就得到了管理员权限。小黑取代了服务器上一款常用的文字编辑软件,并将窃听木马植入该软件。该公司其他员工下载了该软件后,木马先拷贝自己,然后运行正常,因此用户也没有感觉到有什么异常,不久,小黑窃听木马就在Alpha公司内部四处传播。
(5)盗窃号码。小黑点的窃听木马可以在系统中收集密码文件,可以记录用户建立新连接时的键盘记录,也可以分析用户ID和密码在流量过滤时登录时的填写情况。这是一个木马程序,它将所有收集到的密码传递给小黑手进行破解。三个小时内,小黑收到50多个密码,其中还包括研发副总裁和产品总监的账户密码。(6)盗窃。用这些刚破译的密码,小黑以“合法身份”登上Alpha公司的VPN,进入内部网络。小黑开始慢慢地在Hammer软件源代码中搜索隐藏的地方。(降低扫描频率以避免被发现)为防止保安人员注意到自己的扫描行为,小黑也对Alpha公司的外部网站进行了间歇性DDoS攻击,为自己提供掩护。通过对Hammer源代码位置的定位,小黑利用先前被盗取的账号,很快获得了对代码库的下载权限。财宝到了,小黑高兴得叫了出来。这项工作当然要一步一个脚印,一步一个脚印地进行…没过几天,小黑就通过几个肉鸡将全部代码分割打包后逐步下载到自己的系统中。(7)结束。在获取源码后,小黑没有忘记清理自己的入侵痕迹,下指令让木马自毁,并利用it运维权限删除日志。成功者黑黑的按时“交货期”,看着惊叹和钦佩的老板,惬意地点了一大堆钞票。
还没有评论,来说两句吧...