内网渗透测试基础——敏感数据的防护

内网渗透测试基础——敏感数据的防护

内网的核心敏感数据，不仅包括数据库、电子邮件，还包括个人数据及组织的业务数据、技术数据等。可以说，价值较高的数据基本都在内网中。因此，了解攻击者的操作流程，对内网数据安全防护工作至关重要。

1.1 资料、数据、文件的定位流程

内网数据防护的第一步，就是要熟悉攻击者获取数据的流程。在实际的网络环境中，攻击者主要通过各种恶意方法定位公司内部各相关人员的机器，从而获得资料、数据、文件。定位的大致流程如下。

• 定位内部人事组织结构
• 在内部人事组织结构中寻找需要要监视的人员。
• 定位相关人员的机器。
• 监视相关人员存放文档的位置。
• 列出存放文档的服务器的目录。

1.2 重点核心业务机器及敏感信息防护

重点核心业务机器是攻击者比较关心的机器，因此，我们需要对这些机器采取相应的安全防护措施。

1. 核心业务机器

• 高级管理人员、系统管理员、财务/人事/业务人员的个人计算机。
• 产品管理系统服务器。
• 办公系统服务器。
• 财务应用系统服务器。
• 核心产品源码服务器（IT公司通常会架设自己的SVN或者GIT服务器）。
• 数据库服务器。
• 文件服务器、共享服务器。
• 电子邮件服务器。
• 网络监控系统服务器。
• 其他服务器（分公司、工厂）。

2. 敏感信息和敏感文件

• 站点源码备份文件、数据库备份文件等。
• 各类数据库的Web管理入口，例如phpMyAdmin、Adminer。
• 浏览器密码和浏览器Cookie。
• 其他用户会话、3389和ipc$连接记录、“回收站”中的信息等。
• Windows无线密码。
• 网络内部的各种账号和密码，包括电子邮箱、VPN、FTP、TeamView等。

1.3 应用与文件形式信息的防护

? 在内网中，攻击者经常会在进行基于应用与文件的信息收集，包括一些应用的配置文件、敏感文件、密码、远程连接、员工账号、电子邮箱等。从总体来看，攻击者一是要了解已攻陷机器所属人员的职位（一个职位较高的人在内网中的权限通常较高，在他的计算机中会有很多重要的、敏感的个人或公司内部文件），二是要在机器中使用一些搜索命令来寻找自己需要的资料。

? 针对攻击者的此类行为，建议用户在内网中工作时，不要将特别重要的资料存储在公开的计算机中，在必要时应对Office文档进行加密且密码不能过于简单（对于低版本的Office软件，例如Office 2003，攻击者在网上很容易就能找到软件来破解其密码；对于高版本的Office软件，攻击者能够通过微软SysInternals Suite套件中的ProcDump来获取密码）。