企业安全：员工行为难管控〔二〕.docx

《企业安全：员工行为难管控〔二〕.docx》由会员分享，可在线阅读，更多相关《企业安全：员工行为难管控〔二〕.docx（8页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、企业安全：员工行为难管控二-网络安全频道次元立方网-国内领先安全技术频道-最新IT资讯_电脑知识大全_网络安全教程-次元立方网昨天的文章讲到员工行为难管控的下面三个体现点，遭到很多甲方安全运营者的赞同。1、滥用云笔记及网盘2、将公司代码存储在Github、oschina、Bitbucket等。3、员工企业邮箱与外部个人账号密码一致。除了这些，我们在人员安全检测服务经过中还发现很多这方面的问题，今天接着把这些问题逐一列出来，以便于我们后面讲明怎么解决，案例中讲到的所有故事都是绝对真实。4、在邮件、QQ、钉钉等沟通工具中直接发送密码。任何地方发送或者存储密码等敏感的东西，都有很大可能被人搞走，光搞

2、掉目的的邮箱或者QQ，就有一只手都数不过来的方式。所以把密码、私钥、敏感报告这些东西直接明文发送，是我们这些搞人员安全测试的人最喜欢搞的点。案例：乌云网巨人网络员工邮箱弱口令导致大量敏感信息泄露密码设置的再复杂也无济于事。5、随意打开陌生人发送的文件或链接给目的发木马或XSS、CSRF漏洞链接，这种浸透方式相信有不少人用过，对国内非安全岗位员工的安全意识而言，用公开的office或者pdf漏洞绑木马发送，都是在浪费时间，根本用不着这么费力。之前给一家估值数百亿美元的企业做浸透测试，本身这家企业有一支非常专业的安全团队，团队小伙伴搞了整整几天系统和应用，都没有什么大的进展。眼看第二天就要交报告，

3、于是我打开官网，让团队专门写木马的小伙伴，生成一个免杀过绝大部分世界级杀毒软件的木马免杀：杀毒软件正常运行的情况下执行木马无任何提示，跟官网客服小妹妹聊了三分钟投诉产品问题，接着发送木马给她，讲是产品照片，不到两分钟，小姑娘运行了木马，当天几个小时内，通过小姑娘的电脑作为跳板，将这家企业内网遨游了一圈，数千万的数据截了图写进报告。其实当时不止客服，通过邮件给商务发木马、通过论坛私信给管理员发木马、通过邮件给售后发木马，全部成功运行木马。最挖苦的，我是直接发的exe文件，可见国内人的安全风险辨别能力怎样。还有一次给中国最大的互联网企业做浸透测试，小伙伴拿到一个员工内部聊天软件账号密码之后，在一个

4、视频播放器上捆绑木马，视频同放在压缩包里，压缩包命名为优衣库嵊州版，接着在内部一个相亲群里发送视频的下载链接，成功运行木马的员工不下于两位数，下载的人数到达40位，你们这些上市企业白领上班都在干嘛！最终通过抓取员工电脑阅读器里保存的密码，入侵了大量的内部系统。6、内部系统设置弱口令或默认密码不更改。这里的内部系统指的OA系统、企业邮箱、运营后台、运维系统不限于nagios、cacti、zabbix、Jenkins/Hudson、VPN等等，其中重灾区在企业邮箱，曾经给一家会员数量上亿的上市企业做浸透测试，在不知道员工邮箱列表和默认密码的情况下，纯属靠下面几种组合，撞出60多个邮箱的密码，下载的

5、邮件达30G+。组合一：个人信息组成的密码利用普通人的真实姓名生成拼音作为用户名如wangweicnseay，这个字典是常备字典，密码以一样的用户名+123，如wangwei123、Wangwei123、wangwei123，更多的变换下数字，改为521、520、1234、321、123456等，再针对性一点的，密码大多是姓名加生日，如wangwei1984、Wangwei0906。这个组合的密码特点是大小写数字都包含，符合大部分密码强度要求。组合二：企业默认密码组合为企业域名或名字+年份，比方personsec2016，除此还有后面数字换为123、321、123456等，也有默认是名字拼音加工号。组合三：讲臭了的弱口令如123456、123456789、qq123456、1qaz2wsx、1q2w3e4r、等等。仅仅乌云搜索弱口令就出现14000多条的结果。今天结束，剩下已经准备好的场景list到达大几十个，比方不安全使用及私建wifi、捡路边的U盘等硬件设备、私自使用红杏出墙等代理插件，我们根据这些场景做成了有趣的室内外大屏幕动画视频和海报、贴士、手册，甚至视频里面的故事情节都是从现实人员安全检测服务中提炼，等待明日内容。我们给企业客户的墙面安全意识小贴士：