案例分享 - 某企業專業IDC機房「重要伺服器」遭駭客利用嘗試入侵總公司骨幹網路設備與員工電腦

   

某企業專業IDC機房「重要伺服器」遭駭客利用嘗試入侵總公司骨幹網路設備與員工電腦

 

一、案例故事

某企業客戶於某連續假期上午在專業IDC機房中的MS-SQL伺服器透過VPN連線發起對內部OA網段、IT人員主機、防火牆、網路設備進行大量掃描探測行為,同時該主機也頻繁的對骨幹網路上的重要設備(防火牆、Switch)進行密碼暴力破解,意圖橫向感染入侵內部重要設備,該企業藉由「雲智維資訊顧問代管代維方案」主動找出企業內部資安問題,成功預防資安事件擴大。

 

二、解決方案

使用「雲智維資訊顧問代管代維方案」,收集客戶單位中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶內部環境網路、資安問題所在。

該企業使用「雲智維資訊顧問代管代維方案」,從該企業所收集到的流量數據發現到該台MS-SQL主機對OA網段、IT人員主機、防火牆、Switch進行大量掃描探測行為。


入侵攻擊為行流程圖

Host Scan時間圖


暴力破解骨幹網路設備紀錄


MSSQL Server連線中繼站紀錄

建議措施:

1.該MS-SQL主機為高風險主機,建議盡快隔離該台主機並重新安裝。

2.立即啟用備援設備並啟用後隔離有問題主機。

3.防火牆設定嚴謹政策,其禁止IDC機房主機對內部其他網段進行連線。

4.因該台伺服器為資料庫伺服器,建議嚴格審視評估資料庫中各項機敏資料遭竊取的重要性,並給予更進階的資料保護機制與備份備援機制。


三、結論

該企業使用「雲智維資訊顧問代管代維方案」,發生異常事件時,可以幫助企業主動發現事件,發現到IDC機房內部的該MS-SQL主機對其他主機進行大量掃描行為,並嘗試想要遠端連線至內部其他重要資安設備、網路設備,說明該主機已經成為駭客所操控的主機之一,且嘗試想要橫向攻擊至內部其他主機,使用「雲智維資訊顧問代管代維方案」,能夠主動幫企業找出問題點所在,並給予企業相關建議,而該企業逐步進行處理後,將此主機進行處置,成功預防內部資安事件擴大。



 

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-->

資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->