基于办公OA系统的防护HVV技战法
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
一、实践背景:
-
部署安全设备 -
部署安全设备提高系统防护并实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位 -
渗透测试加固系统 -
进行黑盒测试和白盒测试以加固系统本身的安全性
-
-
备份数据 -
数据及时备份,当办公系统沦陷时能及时恢复业务正常运作 -
员工安全意识培训、完善制度
-
-
-
组织人员安全意识培训会议,讲解常见社会工程学攻击手段与途径、遭受攻击后果严重性。内容包括当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话、缓慢并认真地浏览电子邮件和短信中的细节、永远不要点击来自未知发送者的电子邮件中的嵌入链接、永远不要在未知发送者的电子邮件中下载附件、拒绝来自陌生人的在线电脑技术帮助、关注网站的URL、不要幻想不劳而获等。提高整体安全意识,提高个体责任意识。 -
组织钓鱼邮件演习,以公司内部违规人员通报邮件为主题,携带演习用外联木马附件,模拟社会工程学钓鱼邮件攻击场景,检验公司人员安全意识水平,加强网络安全意识教育。记录邮箱附件上线主机信息,联系相关个体并加强个体意识水平,讲解识别规避钓鱼邮件相关方法。
-
-
-
冒充公司职员身份进行社工 。当办公OA系统沦陷,红队有足够权限冒充包括上下级和同事身份并且模拟出十分真实的身份,使之办公OA系统内部通信功能有可能被红队利用来进行钓鱼攻击(如对实习生发offer,员工涨薪通知,辞退通知等等),因此此时沦陷的OA系统内部通信不可信任,应当告诉员工冷静甄别。 -
伪造公告发布恶意链接、文件进行社工钓鱼。当办公OA系统沦陷, - 红队有足够权限发布公告信息,这种手法能够短时间攻击所有员工,危害巨大,因此此时沦陷的OA系统内部通信不可信任。
-
-
沦陷后的办公OA系统文件不可信
-
-
- 对于任何文件都有可能包含病毒木马,应当沙盒内使用或者排除病毒后使用
-
沦陷后的办公OA系统链接不可信
-
-
- 特别是公告里的链接和内部通信里的链接
-
四、成效总结:
通过利用外部威胁情报监控能力与威胁情报关联的上下文信息,以及针对演习中的告警流量分析得出关联情报,对我司受影响业务加固整改。
演习期间,共发现XX起攻击事件,通过此技战法,演习前修复XX个漏洞,演习中溯源到家攻击队X个、威胁家族X个,为溯源工作提供了可靠的举证。最终,该技战法使我司化被动为主动,数据安全得到保障,更完善我司网络安全防控体系建设。
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/8688.html