一、 黑客攻击路径
1)通过SQL注入攻击获得网页管理员账号密码
2)获取管理网站权限,找到文件上传入口
3)上传获取webshell,在后台执行脚本文件
4)攻击者拿下web服务器
5)开始横向渗透
6)在内网中发现高危漏洞
7)进行高危漏洞的利用
8)拿下内网服务器,服务器与其他内网服务器之间网络互通
9)在内网开始进行横向渗透
10)对内网服务器或系统进行口令爆破
11)弱口令或通用口令的存在导致内网服务器批量沦陷
12)核心数据库失陷
13)最终导致核心数据外泄
二、 对应防护手段
1. 使用WEB应用防火墙对WEB网站进行防护,对攻击者使用的SQL注入攻击进行拦截(如失陷,进入下一步防护)
2.在WEB服务器上部署终端主机安全软件,对黑客上传的webshell进行拦截,阻止其获取服务器权限(如失陷,进入下一步防护)
3.在内外网区域之间部署安全访问控制设备,如防火墙或网闸,在内外网部署APT高级威胁监测探针和流量监测探针,发现黑客的横向渗透、扫描等攻击行为,在网络中部署安全态势平台,探针将发现的攻击行为上报给安全态势感知平台,平台对攻击行为进行分析后向防火墙等安全设备下发阻断策略,阻止黑客的横向渗透攻击行为(如未监测到,进行下一步防护)
4.在WEB服务器上部署终端主机安全软件,定期对各系统进行漏洞修改,系统加固,防止黑客利用系统漏洞获取高级管理员权限(如失陷,进入下一步防护)
5.为内外网服务器及各应用系统,设置不同的账号密码,增强密码复杂性,禁止弱口令及通用存在的情况,可使用运维审计设备实现密码定期修改及复杂化要求。(如失陷,进入下一步防护)
6.对核心数据库的操作行为进行审计,可使用数据库审计设备实现,如数据库非常重要,可部署数据库防火墙对数据库进行防护。同时数据库审计设备如果发现非正常的查询行为,则可将该行为上报给日志审计,日志审计对该行为进行分析定义后,上报安全态势感知中心,从而实现态势感知平台下发对应策略到防火墙或EDR等安全管控设备,对非法行为进行拦截。(如失陷,进入下一步防护)
7.日志审计设备对全网黑客操作产生的日志进行记录和保留,时间为6个月,方便公安机对安全案件进行调查取证和侦破。