2. 破解管理员弱密码,发起钓鱼邮件攻击
事件概述
某日,安服应急响应团队接到某科研集团应急需求,其邮箱系统遭受钓鱼邮件攻击,邮箱系统超级管理员账户被盗,导致集团组织架构,以及包含集团领导在内的近200名员工信息泄露。
应急人员抵达现场后对邮件服务器进行排查,发现邮箱系统超级管理员账户admin密码为弱口令,攻击者利用SMTP暴破获取了超级管理员账户admin的控制权。之后,攻击者使用该账户向集团180名员工邮箱发送可盗取用户账号及密码的钓鱼邮件,并成功钓鱼了至少4名集团员工的邮箱账户,删除了邮箱中网管人员发送的预防钓鱼事件的邮件。最终,导致了集团组织架构信息,以及包含集团领导在内的近200名员工信息泄露。
综上所述,超级管理员用户邮箱使用弱口令,以及集团内部员工安全意识不足是导致本次安全事件的主要因素,可见增强员工网络安全意识对企业网络安全至关重要。
防护建议
- 加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据
- 配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力
- 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作