笔者给大家分享一个真实的金融客户安全事故,此事故给客户带了一定的经济损失。
事故经过
运维部门负责人接到前端业务人员反馈某个业务系统的某些页面无法访问,致使客户订单无法进行正常交易。
经过系统维护人员的排查,发现是业务系统里的某个文件被人修改过了。部门负责人责令追查事故原因和责任人。
事故原因
由于所有运维人员都要经过明御运维审计与风险控制系统(堡垒机)才能访问目标主机,堡垒机都能详细记录所有运维人员的操作。
基于文件名,很快通过堡垒机查到了某人在某个时间点,通过堡垒机登录到业务系统的后台,先使用sz命令下载了某个文件,隔了一段时间后,又将使用rz命令上传此文件至业务系统中,直接覆盖了原来的文件,致使业务系统的某个页面无法正常访问。
事故结论
通过堡垒机导出下载文件与上传文件,将两个文件内容进行对比,发现2个文件的内容有部分代码不一致,所以造成业务系统的客户订单页面无法访问。
事故重现
因涉及到客户机密信息,以下只能以测试环境重现事故现场:
(1)运维人员通过堡垒机登录系统后台,使用sz命令之前,test.txt文件内容是“123456 111111”
(2)然后使用sz命令下载文件至本地
(3)在本地修改test.txt文件的内容
(4)再使用rz -y命令上传文件至系统后台
(5)最后看到test.txt的内容是“111111”
事故追踪
通过堡垒机的审计记录快速定位,并可以导出查看文件内容是否被修改过。
事故隐患
传输文件的方式多种多样,如SCP、SFTP、FTP、RDP(磁盘映射和剪贴板)、zmodem等,如果未能及时做到事前预防、事中控制、事后审计,那后果不堪设想。
可能存在的隐患有:
(1)上传恶意文件或木马
(2)窃取数据文件
(3)拖库
(4)有意攻击
(5)无意操作
......
预防风险建议
安恒信息基于多年及众多的案例经验,在安全运维审计方面为我们的客户在保护数据文件方面提供了整体解决方案:
(1)通过明御运维审计与风险控制系统的权限管理功能,规范人和服务器之间的关系,做到事前预防。
(2)通过明御运维审计与风险控制系统的文件传输控制功能,做到哪些人有文件传输权限、哪些人没有文件传输权限,实现事中控制。
(3)通过明御运维审计与风险控制系统的文件审计功能,实现有权限传输文件的人必须完整保存原始文件,做到事后定位。
(4)通过明御运维审计与风险控制系统的电子工单审批功能,实现没有文件传输权限的人可以申请传输文件,但必须得到管理员同意之后才可以传输文件,并且明御运维审计与风险控制系统可以完整保存传输的文件。
本文出自 “情癫小猪” 博客,请务必保留此出处http://ifconfig007.blog.51cto.com/11026101/1791230
原文地址:http://ifconfig007.blog.51cto.com/11026101/1791230
