網路隔離＝萬無一失？這些威脅可能已經在你的網路里！

網路隔離是網路安全建設中十分常用的手段，無論在金融、能源，還是工業、政府行業都很常見。保證數據安全和業務連續性是企業的安全需求，但只要把網路隔離，就可以做到零失陷嗎？我們先來看一個真實的客戶案例。

我們在為一家大型公司的隔離網路部署微步在線威脅情報檢測平台(TDP)時，檢測出的隔離網路中的威脅統計詳情如下：

失陷主機：170餘台

相關威脅情報IOC數量：近900條

產生的總報警數：230餘萬次

而這些被檢測出的威脅，也稱得上是五毒俱全：

有Nitol、Ramnit、Ricbot、飛客家族等殭屍網路家族，這些殭屍網路大多通過系統漏洞進行傳播，感染了內網主機以後，會利用失陷主機組成龐大的殭屍網路，佔用大量的網路帶寬；

還有臭名昭著的暗雲木馬，迄今為止經歷了三代，完全基於內核，可以通過直接關閉殺毒軟體來躲避查殺，被稱為最複雜、最難清除的木馬，也在這個隔離網路內；

MyKing團伙，通過DDoS攻擊和挖礦盈利，國內較大的黑產團伙，攻陷了該隔離網路的多台主機；

WannaCry(永恆之藍)，通過Windows漏洞傳播，加密了多台主機硬碟勒索比特幣；

更重要的是，通過威脅情報和未知威脅分析模型的關聯分析，我們還發現了兩個高價值的定向攻擊和木馬！

說好的隔離就沒事呢？為什麼隔離網路里仍然有這麼多威脅？

對於攻擊者而言，如果一個網路已經重要到不惜隔離也要保護的程度，那麼這個網路本身的價值，就足以讓他們擠破頭也想攻進去；而相反地，對於安全人員來說，當他們意識不到網路隔離會有風險的時候，就是他們的防範意識最鬆懈、整個網路環境最危險的時候。因為，能夠攻進隔離網路的的手段簡直太多了：

一、釣魚郵件。即使在完全隔離的辦公網中，攻擊者也可以選擇使用釣魚郵件的方式，給用戶發送惡意軟體或者使用欺詐郵件的方式獲得用戶的用戶名密碼。通過攻陷一台機器，進而從而在內網中橫向移動，以獲得更高許可權機器的控制權。攻擊者甚至可以進一步以此為跳板，滲透進入企業的生產網路——竊取企業數據、挖礦，甚至是搞破壞，都在攻擊者的可操作範圍內了。這聽起來有些難以置信，但是2017年的著名工控惡意軟體Triton，就是通過魚叉式釣魚攻擊攻入了中東一家大型機構的OA網路，然後從 OA網路橫向移動攻入了DMZ區域，最後以DMZ網路為支點，最終攻陷了網路隔離更為嚴密的DCS和SIS工控系統網路，萬幸最後攻擊者因為不夠深入了解工控系統，意外觸發了緊急關閉系統，這才被安全人員發現，否則該機構可能會爆發嚴重的生產事故。

二、帶有病毒的USB設備、印表機或其他專用設備的驅動光碟等。以U盤為例，U盤容易帶上病毒，當病毒把自己偽裝成autorun等程序時，往往就很難被識別和清除，從而進入到電腦中，這就成為了隔離網路的隱患之一。一旦有攻擊者引入社會工程手段，故意在目標網路附近的公共場所掉落U盤，那就會更具有指向性，也更難防禦。2010年前後的Stuxnet（震網）就是一個通過U盤傳播惡意軟體的案例，震網最終攻擊了伊朗的鈾濃縮設備，讓德黑蘭的核計劃至少推遲了兩年。

三、BYOD。BYOD=Bring your own device（攜帶個人設備），當公司的網路中接入越來越多的員工電腦和手機時，這些每天帶來帶走的設備就會給企業帶來新的安全隱患。最典型的當屬WannaCry事件，當WannaCry病毒爆發的時候，正值中國時區的周末，因此風平浪靜兩日，但等到周一上班以後，就開始大規模爆發。究其原因，是周末很多員工都把自己的個人電腦帶回了家，連入了家中的無線網路並感染了WannaCry，而且沒有被發現，等到周一電腦又被帶回來，接進了辦公網甚至生產網……

四、系統不及時打補丁，攻擊者從漏洞中攻入。很多安全從業者認為，既然網路已經被隔離了，那麼從理論上來講網路就是安全的，系統補丁可以不用更新，其他方面的安全策略也會出現不足，甚至安全人員的意識都會變得遲鈍，而這一切的後果就是惡意軟體真的來臨時，在隔離網路中可以暢通無阻。在WannaCry爆發時，我們就遇到了大量因沒有打補丁而爆發和感染的客戶案例。此外，由於網路從內部隔離，內鬼作案的成功率也會提升。

五、私搭無線網路。被隔離的日子是枯燥的，外面的世界總是精彩的，於是就會有內網員工禁不住誘惑，偷偷搭建無線網路進行上網等行為，殊不知這樣一來就給自己的內網開了一個口子，如果再遇到水坑攻擊，下載了偽裝成軟體、工具包甚至電影資源的內容，那麼隔離效果就會「談笑間，檣櫓灰飛煙滅」。

這些問題涉及到人員、技術和制度。因此，想要減輕隔離網路的風險，我們建議從這幾個方面去著手：

第一，建立嚴格的內網管理制度，在需要隔離的網路環境中，嚴禁私搭無線網路，按時更新系統版本，打好補丁，能夠接觸到隔離網路的人員要加強對三方設備的管理，禁止使用來歷不明的USB設備；

第二，提高人員的意識，定期對安全人員進行檢查、培訓，促進安全人員對於先進網安知識的學習，嚴防內鬼；

第三，技術上不要再追求單純的防禦，應當以「隨時檢測、隨時響應」為目標，縮短MTTD（平均檢測時長）和MTTR（平均響應時長），在做好主機、內網防護的同時，引入威脅情報等外部安全大數據，利用基於全流量分析的威脅情報檢測系統（TDP）對隔離網路進行全面的威脅監控，隨時掌握主機失陷情況。此外，還應當建立起企業自身的威脅情報平台（TIP），如白名單、可疑IP記錄、有攻擊歷史的黑客組織名單與畫像等。

回到文章開頭的案例，隔離網路失陷是由多方面因素所造成的，企業或組織必須意識到，一味進行防禦，永遠無法做到完美，因為世界上只有兩種企業，一種知道自己被入侵了，一種不知道自己被入侵了。人無遠慮，必有近憂，被攻擊並不可怕，可怕的是意識已經失陷。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！