这个故事的主角是一家在信息安全行业里小有名气的科技公司,专门做网络安全产品和服务,按理说安全意识应该比普通企业强不少。但现实往往就是这么讽刺,越是做安全的公司,越容易在最基础的环节上摔跟头。
公司的网络运维团队里有一个技术能力不错的工程师,平时负责内部网络架构的维护和优化。他手里有一张自己制作的内部网络拓扑图,涵盖了公司总部和几个分支机构的网络结构、服务器和交换机的部署位置、各系统的IP地址段划分、防火墙的过滤规则配置、VPN接入点的设置等大量细节信息。这张拓扑图是他日常工作的重要参考资料,设计得非常精细,各种设备的型号、连接关系、VLAN划分、端口配置都标注得清清楚楚。对于任何一个外部攻击者来说,这张拓扑图就是一份可以直接照着打的作战地图,有了它就能清楚知道这家公司的网络体系哪些位置防守薄弱、哪些设备是关键节点、从哪里切入最有可能突破。
这位工程师在公司内部的技术分享会上用这张拓扑图给同事们做过几次培训讲解,大家反馈都挺不错的。他自己也比较得意,觉得这张图画得专业、内容详尽,值得让更多的人看到和学习。于是他在一次整理个人资料的时候,把这份拓扑图文件稍作处理,抹掉了公司的名字和一些他认为比较敏感的文字标注,然后上传到了SlideShare这个公开的文档分享平台上。他的初衷不是恶意的,他觉得自己已经把敏感信息处理掉了,剩下的内容应该只保留了一些通用的网络拓扑示范价值,可以被同行借鉴和参考。他甚至在上传的时候给文件配了一段技术类的说明文字,表示这是一家参考网络架构的设计示例。
但他忽略了一个很关键的问题。他对拓扑图进行的所谓处理非常潦草,只是简单地把公司名称从几个明显的标题位置删掉了,但很多设备描述文字里隐藏的信息、IP段分配规律、防火墙规则中体现的域名和内部服务名称、服务器型号对应的特定部署模式,这些内容全都原封不动地保留在了图片里。一个稍微有点经验的安全研究员只要仔细看一看这张图,就能分析出很多有价值的信息,甚至可以结合其他公开数据推测出这家公司的具体身份。
有一个人确实这么做了。一个在海外从事安全研究的白帽黑客在SlideShare上浏览网络架构相关的内容时看到了这张拓扑图。他花了大概半小时的时间仔细分析图中的各种细节,结合图里IP段分布规律和几个比较特殊的服务名称,成功推断出了这张图对应的就是某家知名的安全公司。他还在图中发现了几个明显没有做安全加固的设备节点和一条暴露在外的VPN通道配置信息,这些信息足够帮助一个真正的攻击者找到进入这家公司内网的切入点。这位研究员出于职业操守没有利用这些信息做任何破坏性操作,但他把发现写成了一篇博客文章公开发表了,文章里详细列出了他从那张拓扑图中分析出的所有信息,包括这家公司的网络架构特征和存在的几处安全弱点。博客文章被多个安全类网站转载,在网络安全行业里引起了一片哗然。一家做网络安全的公司,自己的内网拓扑图被员工公开到了互联网上,而且从中可以分析出安全防御体系的薄弱位置,这个讽刺意味让整个行业都笑了。
公司管理层在得知这个消息之后紧急行动,一方面要求工程师立刻从SlideShare上删除文件,另一方面组织安全团队对全网进行一次彻底的安全排查。虽然文件已经被删除,但在文档分享平台上被下载和转存的次数已经不少了,拓扑图的内容实际上已经扩散了。更麻烦的是,删除动作本身也引起了更多人的关注和讨论,相关的分析和截图在安全社区里继续传播。
从泄密链路来看,第一个环节是工程师对自己的工作成果过分自信,认为经过简单处理之后就可以公开发布,没有意识到一张专业拓扑图里隐含的信息远远不只是标题上的那个公司名字而已。第二个环节是公司没有对员工公开发布技术资料和信息的行为建立明确的审核制度,工程师在公示平台上上传文件不需要经过任何内部审批或者安全审查。第三个环节是公司的信息安全培训没有覆盖到员工对外发布技术内容的行为规范,工程师对什么能发、什么不能发没有清晰的底线认知。第四个环节是发现泄密之后错过了应对时机,文件在被删除之前已经被下载和转载了很多次。
这个案例的警示对于所有技术密集型企业来说都很有启发。你手里的技术文档、网络拓扑、代码片段、系统配置截图,可能在你的视角里只是一份展示技术能力的普通资料,但在外部攻击者眼中可能就是一份攻击手册。建议所有企业建立对外发布技术信息的内部审核机制,任何涉及公司内部网络架构、系统配置、服务器信息、安全设备参数的内容,在发布之前都必须经过信息安全部门的审查,确保不包含任何可能被攻击者利用的敏感信息。同时要对技术人员进行专项培训,让他们清楚地了解什么信息可以分享、什么信息是红线绝对不能碰的。一个技术人员的无心之举,有时候比一个专业黑客的长期渗透还要管用。
