案例分享 - 某企業專業IDC機房「重要伺服器」遭駭客利用嘗試入侵總公司骨幹網路設備與員工電腦
某企業專業IDC機房「重要伺服器」遭駭客利用嘗試入侵總公司骨幹網路設備與員工電腦
一、案例故事
某企業客戶於某連續假期上午在專業IDC機房中的MS-SQL伺服器透過VPN連線發起對內部OA網段、IT人員主機、防火牆、網路設備進行大量掃描探測行為,同時該主機也頻繁的對骨幹網路上的重要設備(防火牆、Switch)進行密碼暴力破解,意圖橫向感染入侵內部重要設備,該企業藉由「雲智維資訊顧問代管代維方案」主動找出企業內部資安問題,成功預防資安事件擴大。
二、解決方案
使用「雲智維資訊顧問代管代維方案」,收集客戶單位中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶內部環境網路、資安問題所在。
該企業使用「雲智維資訊顧問代管代維方案」,從該企業所收集到的流量數據發現到該台MS-SQL主機對OA網段、IT人員主機、防火牆、Switch進行大量掃描探測行為。
 |
| 入侵攻擊為行流程圖 |
 |
| Host Scan時間圖 |
 |
| 暴力破解骨幹網路設備紀錄 |
 |
| MSSQL Server連線中繼站紀錄 |
建議措施:
1.該MS-SQL主機為高風險主機,建議盡快隔離該台主機並重新安裝。
2.立即啟用備援設備並啟用後隔離有問題主機。
3.防火牆設定嚴謹政策,其禁止IDC機房主機對內部其他網段進行連線。
4.因該台伺服器為資料庫伺服器,建議嚴格審視評估資料庫中各項機敏資料遭竊取的重要性,並給予更進階的資料保護機制與備份備援機制。
三、結論
該企業使用「雲智維資訊顧問代管代維方案」,發生異常事件時,可以幫助企業主動發現事件,發現到IDC機房內部的該MS-SQL主機對其他主機進行大量掃描行為,並嘗試想要遠端連線至內部其他重要資安設備、網路設備,說明該主機已經成為駭客所操控的主機之一,且嘗試想要橫向攻擊至內部其他主機,使用「雲智維資訊顧問代管代維方案」,能夠主動幫企業找出問題點所在,並給予企業相關建議,而該企業逐步進行處理後,將此主機進行處置,成功預防內部資安事件擴大。
