考虑到网络分段,我如何定义在发生违规时需要重置的密码范围?
更改同一网络上所有计算机上所有账户的密码网络作为受感染的系统。不,真的。所有账户。所有计算机。是的,你说得对,这可能有点过头了;另一方面,也可能不是。
背景:
在为我的日常工作编写事件响应计划时,我参考了我该如何处理受到感染的服务器?了解什么时候应该发生什么。我正在使用分段网络,该网络使用PCI DSS 范围界定工具包。我的设置涉及非域和应用了内部分段的域。
答案1
我建议从两个方面来考虑,这取决于你的敏感程度(我最初写的是“偏执”,但我认为,衡量你的反应程度与做得不够的后果是有道理的)。
我个人会考虑任何 Windows AD 域(*还有其他集中账户管理服务可用,假设我也在谈论它们),受害者被认定为嫌疑人。虽然现在这种攻击不那么普遍了,但过去曾发生过使用捕获的“域用户”帐户对域进行身份验证并作为入侵域管理员帐户的起点的攻击。
我担心的另一个方面是,你可能有一个不在集中式身份验证机制中的系统,但用户重复使用了帐户详细信息。一旦你从一个来源收集了用户名/密码组合,就可以很容易地将该组合回放到你能找到的所有其他系统中,看看它是否有效。
最后,不要忘记受感染服务器使用隐藏在代码本身中的凭据(例如数据库连接等)连接的任何系统。
如果你正在研究范围界定工具包中使用的细分定义,例如完全隔离那么你就可以合理地确定攻击没有越过这些界限。这实际上是一个很好的起点。在很多方面,通过在问题发生之前处理这个问题,你已经在游戏中走得很远——我写下你引用的问题是为了给那些还没有提前计划的人提供指导。
答案2
我将其解释为,所有连接到入侵发生地点的网络都处于您的管理控制之下,并且通过 IP 连接进行连接。IP 连接要么意味着不受限制,要么由防火墙规则允许。本质上,任何可能的网络,攻击者都可以从中来回切换。