|
2014那一年一直过得很平淡,但是平淡中往往就酝酿着一次波涛汹涌……整个安全事件的追查过程可谓惊心动魄、跌宕起伏,回想起来,某公司,还真是幸亏有你……
一天,在周末突然接到一个老同学的求助电话……
我这位老同学在一家公司担任的是IT部门主管,这家公司说大不大,但是分支机构特别复杂,在各地的某公司平时都依靠VPN网络进行数据汇总和同步。最近他们公司屡屡的在竞争中失利,而且还有公司内部的资料被当成了笑话一样张贴在了网上,这位负责公司IT运维的老同学被搞得灰头土脸。作为老同学的我当然成为了他的求助对象。
抵达现场之后,发现他们已经进行了初轮排查,确认了服务器是安全的,没有任何被入侵的嫌疑。查询了所有的访问日志,也都是合法访问的信息。既然信息的仓库是没有问题的,那么出问题的地方就应该是渠道了?
我们通过查询SSL VPN设备的所有行为日志,发现了并没有出现什么有问题的地方,所有分支机构之间的隧道链路都是没有问题,加密状态、用户认证等等数据都是正常的。
难道公司有内鬼向外泄露资料?
带着这个疑问,我们排查了近两年的人事资料,发现这种可能性很小,而且所有的数据都是不落地,要想用存储介质复制走是不可能的。
眼见老同学的工作就要不保,急得像热锅上的蚂蚁。突然我在梳理上网行为日志的时候,突然发现了一个很不明显的问题,那就是某个用户的网络行为习惯似乎有点问题……
从上网行为日志上发现某位员工最近一段时间在半夜3点钟左右多次通过认证获取公司的资料,而且获取资料的地点都是在办公室。深夜加班的情况应该存在,但是每天晚上都是“定时加班”就未免奇怪了点吧……
通过暗中调查发现,这名员工是公司的老职员,一向勤勤恳恳,按理说应该不会充当“内鬼”这种角色。通过公司内部谈话也没有发现端倪,事情变得复杂起来……
向设备厂家某公司寻求帮助,希望能够通过详尽的日志来提供证据佐证我们谁也不愿意面对的真相。某公司的工程师针对事件的来龙去脉,借用了一台NGAF设备悄悄的部署在公司内部。
过了一周,查询NGAF的日志发现,那个账号三番四次的外传数据的原因居然是成为了僵尸主机,而那个员工居然根本不知道。通过NGAF的分析和日志,发现这台计算机中了木马,所以产生了数据泄露。如果不是NGAF的内部网络扫描功能就不能确认这台电脑有问题,又不可能各地某公司进行一次全面筛查……
三个月以后,老同学约我吃饭,给我讲述了事情的后续……其实那件事情还根本没有结束……
后来他在写情况汇报的时候,将NGAF和上网行为日志进行了汇总,发现了一个让人大跌眼镜的秘密。
原来那位知人知面不知心的员工居然真的是内鬼。他由于被其他公司买通,并由高人传授,在获取了木马程序之后,通过一个临时注册的邮箱向自己的企业邮箱发送木马软件,然后自己种上木马……他以为神不知鬼不觉,谁知道所有的行为日志都被安全设备保留了下来。
感谢某公司强大、详尽的上网行为日志记录功能,专业的设备让我和老同学成功的揪出了内鬼使其得到了应有的惩罚。这次跌宕起伏的“破案”经过也为我积累了的经验,也认识到信息安全必须要得到足够的重视,否则,将会为自己的企业带来极大的损失。 | 
发表于 2016-12-26 12:45
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-12-26 14:47
楼主
