企业安全:员工行为难管控(二) |

  • A+
所属分类:Seay信息安全博客

显示不全请点击全屏阅读

 昨天的文章说到员工行为难管控的以下三个体现点,受到很多甲方安全运营者的赞同。

1、滥用云笔记及网盘

2、将公司代码存储在Github、oschina、Bitbucket等。

3、员工企业邮箱与外部个人账号密码一致。

  除了这些,我们在人员安全检测服务过程中还发现很多这方面的问题,今天接着把这些问题一一列出来,以便于我们后面说明怎么解决,案例中讲到的所有故事都是绝对真实。

4、在邮件、QQ、钉钉等沟通工具中直接发送密码。

    任何地方发送或者存储密码等敏感的东西,都有很大可能被人搞走,光搞掉目标的邮箱或者QQ,就有一只手都数不过来的方式。所以把密码、私钥、敏感报告这些东西直接明文发送,是我们这些搞人员安全测试的人最喜欢搞的点。

案例:乌云网[巨人网络员工邮箱弱口令导致大量敏感信息泄露]

密码设置的再复杂也无济于事。

5、随意打开陌生人发送的文件或链接

    给目标发木马或XSS、CSRF漏洞链接,这种渗透方式相信有不少人用过,对国内非安全岗位员工的安全意识而言,用公开的office或者pdf漏洞绑木马发送,都是在浪费时间,根本用不着这么费劲。之前给一家估值数百亿美元的企业做渗透测试,本身这家企业有一支非常专业的安全团队,团队小伙伴搞了整整几天系统和应用,都没有什么大的进展。

    眼看第二天就要交报告,于是我打开官网,让团队专门写木马的小伙伴,生成一个免杀过绝大部分世界级杀毒软件的木马(免杀:杀毒软件正常运行的情况下执行木马无任何提示),跟官网客服小妹妹聊了三分钟投诉产品问题,接着发送木马给她,说是产品照片,不到两分钟,小姑娘运行了木马,当天几个小时内,通过小姑娘的电脑作为跳板,将这家企业内网漫游了一圈,数千万的数据截了图写进报告。

    其实当时不止客服,通过邮件给商务发木马、通过论坛私信给管理员发木马、通过邮件给售后发木马,全部成功运行木马。最讽刺的,我是直接发的exe文件,可见国内人的安全风险辨别能力如何。

    还有一次给中国最大的互联网企业做渗透测试,小伙伴拿到一个员工内部聊天软件账号密码之后,在一个视频播放器上捆绑木马,视频同放在压缩包里,压缩包命名为“优衣库嵊州版”,接着在内部一个相亲群里发送视频的下载链接,成功运行木马的员工不下于两位数,下载的人数达到40位,你们这些上市企业白领上班都在干嘛!最终通过抓取员工电脑浏览器里保存的密码,入侵了大量的内部系统。

6、内部系统设置弱口令或默认密码不更改。

    这里的内部系统指的OA系统、企业邮箱、运营后台、运维系统(不限于nagios 、cacti、zabbix、Jenkins/Hudson)、VPN等等,其中重灾区在企业邮箱,曾经给一家会员数量上亿的上市企业做渗透测试,在不知道员工邮箱列表和默认密码的情况下,纯属靠以下几种组合,撞出60多个邮箱的密码,下载的邮件达30G+。

组合一:个人信息组成的密码

    利用普通人的真实姓名生成拼音作为用户名(如[email protected]),这个字典是常备字典,密码以相同的用户名+123,如wangwei123、Wangwei123、wangwei@123,更多的变换下数字,改为521、520、1234、321、123456等, 再针对性一点的,密码大多是姓名加生日,如wangwei1984、Wangwei0906。

    这个组合的密码特点是大小写数字都包含,符合大部分密码强度要求。

组合二:企业默认密码

    组合为企业域名或名字+年份,比如personsec@2016,除此还有后面数字换为123、321、123456等,也有默认是名字拼音加工号。

组合三:讲臭了的弱口令

    如123456、123456789、qq123456、1qaz2wsx、1q2w3e4r、等等。仅仅乌云搜索弱口令就出现14000多条的结果。

    今天结束,剩下已经准备好的场景list达到大几十个,比如不安全使用及私建wifi、捡路边的U盘等硬件设备、私自使用红杏出墙等代理插件,我们根据这些场景做成了有趣的室内外大屏幕动画视频和海报、贴士、手册,甚至视频里面的故事情节都是从现实人员安全检测服务中提炼,期待明日内容。

我们给企业客户的墙面安全意识小贴士

Tags:

企业安全,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
企业安全:员工行为难管控(二) |