安全以人為本:解讀微盟刪庫事件
微盟刪庫事件暴露的只是企業內部威脅的“冰山一角”。
 
“抗疫免費”的全民遠程辦公SaaS營銷大戰塵埃尚未落定,本周曝出的微盟刪庫事件就給中國企業當頭一記狼牙棒。截至本文發稿,根據微盟最新的通告,原有商戶的生產數據的恢復要等到28日。對于在線業務完全依賴微盟平臺的商戶來說,“心臟停跳”5日后,生產數據能否完全恢復,目前看來還是個未知數。
 
對于中國企業數字化轉型的決策者來說,微盟刪庫事件的警示意義不僅是一家知名度極高的云服務企業發生了重大數據違規行為,導致股票市值暴跌12億港幣,也不僅是因為千千萬萬微盟SaaS商戶蒙受了無法估算的巨大經濟損失,而是因為該事件暴露的“網絡安全債”,在大多數企業中都普遍存在。
 
某央企運維總經理在接受安全牛采訪時表示:
 
微盟刪庫事件影響巨大,有可能是一個標志性、拐點性的事件。該事件從架構安全、員工行為、內外部風險、IT運維數據管控機制和制約環節等等方面都暴露出巨大問題,再一次拉響了內部風險的警報。
 
但也同時指出:該事件對安全服務來說可能意味著一個巨大的商機開啟。如果能有一個體系化管控數據庫操作各環節、各步驟的平臺,特別是涉及到關鍵指令下達緩解、有操作復核確認,甚至是授權復核,未來一定會有巨大的市場空間。
 
坐堂問診:如何根治“刪庫跑路”
 
對于微盟刪庫事件,安華金和認為根源是目前很多企業在沒有充足的時間與經驗支撐下,倉促“轉型”線上遠程辦公模式,因此普遍缺乏完善的運維安全管理體系。
 
美創科技在接受安全牛采訪時表示:作為距離企業數據最近的角色之一,運維人員正給企業數據帶來了防不勝防的隱患,然而企業在數據安全建設中往往最容易忽視這一環節,存在以下幾個常見問題:
 
1. 數據庫賬號密碼管理缺乏嚴格有效的訪問控制機制;
2. DBA等高權限得不到管控,易發生越權操作行為;
3. 誤操作數據后無法恢復,敏感數據得不到有效保護;
4. 數據庫內部操作無法審計,導致數據泄露后無法準確溯源。
 
對于如何預防和管理“刪庫”風險,派拉軟件認為:對于內部威脅,企業需要技術與管理雙層把控。首先在管理層面上,企業文化先行,關懷員工,關注員工身心健康,普及相關事件的危險性及犯罪性,運維管理制度要實行雙權甚至三權分立,不能一人獨管企業核心資產運維。
 
派拉軟件指出,企業如果能在特權身份安全上做到以下六點,可有效防范此類事故的再次發生:
 
1. 持續收集并管理特權賬戶;
2. 多因素認證;
3. 訪問控制(實時監控、限時授權運維、高危命令處理);
4. 用戶行為分析(風險動態感知);
5. 實時監控運維動作并通知;
6. 全維度的審計。
 
齊治科技解決方案專家于遨洋認為要杜絕這類惡意操作事件,必須在運維過程中增強管控,加強對特權賬號的管控、加強對訪問權限的控制、加強對高危命令的復核。
 
從技術方面來看,美創科技認為“防刪庫”要從集成多因素準入控制、敏感數據資產分級分類、危險誤操作審批流程、數據動態脫敏和精準審計五個方面來解決運維環節的數據安全威脅。
 
安恒信息網關事業群吳焱在接受安全牛采訪時則表示,企業保護核心數據,避免刪庫慘案一再發生,就必須讓運維更可控、更安全。具體工作有以下三個重點:
 
1. 針對重點服務器(包括核心業務、核心數據等),可以參考雙人授權的"金庫模式",通過動態工單授權申請審批機制和會話實時控制等方法,確保重點服務器任何時刻不能被單個賬戶直接操作。
2. 針對普通服務器,做到事前權限預分配,通過細粒度的權限控制、命令管控、多重身份認證等實現事中訪問控制,避免權限分配不合理導致誤操作、越權操作帶來的運維安全事故。
3. 運維過程需要全量審計,通過運維審計提供詳細的審計日志給公安機關作為權威證據,鎖定惡意操作者,避免事后無法追查具體的操作人員及操作過程。
 
針對“刪庫跑路”類事件,安華金和基于企業運維工作在數據庫權限管理和審批機制上的建設經驗,提出兩個解決思路供安全牛讀者參考:
 
其一,對數據庫賬戶包括DBA高權限賬戶的數據庫運維行為進行有效管理,做到對批量刪除數據等高風險操作在事中的有效防控,讓刪庫行為無從下手;
 
其二,建議制定并嚴格執行標準的工單審批流程,以有效規范運維操作行為;就算運維人員(DBA高權限賬戶)真的需要“執行批量刪除”這種大動作,也必須通過申請并等待審批。
最后,某政府機關安全主管強調,預防微盟刪庫事件還有一個關鍵措施就是加強演練,企業要制定應急演練預案,模擬不同故障場景定期演練,方能保障業務的持續性。

 
刪庫只是冰山一角:2020是內部威脅保護元年
 
“人的因素”是今年RSAC2020網絡安全大會的主題,而微盟刪庫事件再次強調了這一點:企業面臨的最大威脅往往不是外部攻擊,而是內部威脅(包括供應鏈風險)。
在安全牛年初發布的《2020年企業面臨的20大數據風險》一文中,與內部(人員)威脅有關的就多達12條,按威脅等級排列并點評如下:
 
1. 員工疏忽導致數據泄露
2. IT運維管理人員過勞
3. 員工監守自盜
4. 危險的個人通訊(使用未加密的消費級通訊軟件和遠程辦公協作平臺傳輸敏感數據)
5. 網絡釣魚/魚叉式釣魚(尤其是疫情相關釣魚活動)
6. 員工接受賄賂成為內鬼
7. 過于寬松的員工數據訪問權限(特權賬戶權限過大且缺乏有效監管)
8. 員工買賣數據
9. 員工無聊行為(疫情的持續可加重此類行為)
10. 員工竊取數據用于個人職業發展(轉投競爭對手)
11. 高管離職(又一個特權賬戶管理問題)
12. 脆弱的密碼
 
 
可以看出,微盟刪庫事件的主因“特權賬戶管理“只是企業內部威脅的”冰山一角“,甚至排不進TOP5。根據Shred-it的一項調查研究,40%的高級管理人員表示疏忽和意外是最近一次重大信息安全事件的主因。
員工疏忽會比勒索軟件、釣魚攻擊、商業間諜、黑客高級攻擊更可怕?是的,例如你的一個重要員工在機場上了一個假熱點,發郵件時手一滑把敏感信息cc給了陌生人,離開時又遺失了未加密的筆記本電腦。
從本質上看,無論是“疏忽”還是“反水”,內部威脅都是一個與人員、流程、策略和文化有關的綜合性風險管理問題,絕不僅限于特權賬戶和數據安全管理。
根據Forrester去年發布的《內部威脅報告》,86%的組織已著手部署內部威脅管理項目,但除了金融服務企業和處理敏感數據的企業已經建立了較為成熟的內部人員濫用管理程序,大多數企業仍停留在政策和計劃制定階段,只有三分之一的公司認為其內部威脅管理程序已經成熟。
 
報告指出:
 
2020年,將是企業把內部威脅功能從臨時措施變為可重復和可改進流程的一年。
 
防患于未然:內部威脅保護框架與員工心理關注
 
最近幾年,國內外數據庫誤操作和刪庫事件頻頻發生:
 
2019年12月,由于Elasticsearch數據庫技術人員的疏忽,小米生態鏈企業,智能家居產品制造商Wyze泄露了超過240萬北美用戶數據,導致Wyze在北美市場業務和品牌聲譽蒙受巨大損失。
 
2018年8月,順豐公司一員工接到一個變更需求,因為選錯了實例,將一數據庫刪除。因工作不嚴謹導致該系統上臨時車線上發車功能無法使用并持續約590分鐘。事后該員工被開除。
 
2018年4月,VPS服務商Kuriko因機房技術人員 rm -rf /*,宿主機上所有數據丟失了。
 
2017年9月,某企業技術工程師幫助廣西移動進行擴容割接(即增加系統容量)時,不小心將HSS設備里面的用戶數據格式化刪除,導致廣西移動近80 萬用戶數據丟失。
 
2017年6月,Reddit網站的一位實習程序員手滑誤刪了網站的全部生產數據,險些將這個過去五年全球最成功的興趣社交網站從互聯網上抹掉。當Reddit準備起訴該員工時,整個硅谷的技術大咖都一致指責Reddit,認為該公司自身糟糕的安全管理才是根本原因。
 
2017年6月,一家荷蘭海牙的云主機商verelox.com,一名前任管理員刪光了該公司所有客戶的數據,并且擦除了大多數服務器上面的內容。
 
2018年,“前沿數控”因生產云數據備份恢復失敗而瀕臨倒閉。
 
2018年北京一軟件工程師徐某離職后因公司未能如期結清工資,便利用其在所設計的網站中安插的后門文件將網站源代碼全部刪除。最終徐某因破壞計算機信息系統罪成立,獲刑五年。
 
2018年杭州科技公司的技術總監邱某因不滿企業裁員,遠程登錄服務器刪除了數據庫上的一些關鍵索引和部分表格,造成該企業直接經濟損失225萬元,后被判賠償公司8萬元,判刑2年6個月,緩刑三年。
 
 
致命的刪庫(跑路)事件反復上演,暴露出“打地鼠”式的安全管理思路并不能解決根本問題,企業需要“把內部威脅功能從臨時措施變為可重復和可改進流程”,關鍵是要找到合適的內部威脅成熟度參考框架,并在企業戰略和風險管理設計層面將安全作為重要的原生要素考慮,即所謂的安全設計和原生安全。
 
早在2018年,受拉德利曼寧和斯諾登事件的刺激,美國司法部長和國家情報總監聯合領導下的國家內部威脅特別工作組(NITTF)發布了一份新的《內部人員威脅項目成熟度框架》。該框架的目的是幫助政府部門和企業大大提升其ITP(內部威脅保護)的有效性,變得更主動、更全面、更能威懾、檢測和緩解內部人員威脅風險。
 
除了內部威脅治理的框架和管理程序外,IT運維人員的心理問題,例如壓力和倦怠,往往也是企業風險管理的盲區。其實,通過員工心理和語言行為分析,是可以及早發現和預防怠工破壞行為的。
2017年情報與國家安全聯盟(INSA)曾發布一篇論文提出,心理語言學分析可用于事前檢測內部人員威脅的發展脈絡。
論文討論了所謂的怠工行為(CWB),斷言惡意內部人不是天生的,是生活和工作壓力迫使他們成為了惡意內部人士。不斷升級的怠工行為可通過對電子郵件、個人博客、聊天內容和朋友圈的心理語言學分析加以檢測——其理論就是:可以在員工演變為惡意內部人之前預先檢測出來,并施以幫助,防患于未然。
 
遠離不穿褲子的云:SaaS供應商安全性評估
 
疫情期間,大量SaaS應用紛紛打出抗疫免費牌,面對漫天的餡餅,很多企業迷失了方向。其實,企業選擇SaaS云服務的主要目的不是為了省錢,而是為了在安全穩定的基礎上提高企業敏捷性(例如支持遠程團隊)、效率和生產力。由于SaaS產品存在鎖定成本,即使是中小企業和創業團隊,選擇供應商時也應該高度重視供應商安全性評估。
例如,微盟出事了,并不意味著慌慌張張跳上有贊的船就一定更安全(或不安全),企業必須清楚,云服務商承諾的“n個9”和備份服務,并不能確保數據安全,企業應當對包括云服務商在內的供應鏈第三方供應商,主動進行充分的安全性評估,并形成一個固化的標準安全流程。
從執行層面來看,設計調查表是安全評估的關鍵環節,安全咨詢公司Tripwire曾對包括SaaS服務商在內的第三方供應商安全評估(VSA)的調查表內容給出了幾點建議,這些建議同樣適用于供應鏈上的其他企業,具體如下:
 
 1 、數據資產分類
 
使數據處于“需要知道”的最小化授權體系中。這不僅包括訪問驅動器共享文件夾,還包括Git,Salesforce和Confluence等應用程序。它還確保僅將工具內的適當訪問權限授予正確的員工。雖然使用上述工具的開發運維人員面對信息孤島和安全控制流程常感沮喪,但是通過防止過分授權數據訪問和操作,企業可以保護數據免受各種威脅。如果員工只能從受限制的位置進行數據檢索,他們將時刻銘記應當謹慎處理此類數據。
 
 2 、人員聘用和解雇的安全程序
 
是不是經常有搞IT的朋友跟你說,嘿哥們,想不想知道我幾年前做的xx項目的后臺數據,我那個路由器/數據庫管理賬戶還能用。事實無數次表明,人員威脅管理依然是評估供應商的最重要的標準之一,SaaS供應商需要證明相關工作人員的入職和離職流程有效,尤其是確保離職員工或解約承包商無法再登錄查看任何數據。SaaS服務、應用市場、電商平臺工作人員因受賄瀆職導致的企業數據泄露事件,已經數不勝數,因此,企業應當要求SaaS供應商和合作協議中明確界定數據訪問權限、清洗條款和時限、人員就職離職程序有效性和安全性等。
 
 3 、數據備份
 
有很多緩解風險的方法,其中最重要的就是對系統進行良好的備份。云服務商會承諾你多重備份,但是你應當明白,很多時候云服務商自己也分不清“能”和“會”的區別。
 
 4 、服務器強化
 
對于任何生產系統,運行軟件的服務器必須確保安裝最新的補丁程序并符合具其他安全標準。這聽上去像是廢話,但是請記住,很多時候,測試或實驗環境服務器最終會通過一系列人畜無害的步驟成為關鍵任務服務器。
 
 5 、安全意識
 
是否所有員工在入職和工作期間都得到了定期的,足夠有效的安全培訓?如果企業不能定期提醒員工并練習其安全意識技能,例如通過模擬的網絡釣魚電子郵件攻擊,則企業安全的“人肉”環節將很容易受到打擊。


揚州谷歌推廣  揚州Google代理商    揚州小程序  揚州網站建設  揚州外貿推廣  揚州外貿招聘  揚州Alibaba   揚州阿里巴巴  揚州Google

一码中特会员 好看的三级片有哪些 陕西麻将手机版 闲来麻将官网网址 和讯模拟炒股大赛 免费建房间的麻将 老快3基本走势图 百度百科 宁夏十一选五任选走势图 超牛pk10计划全能版 好运快3是合法的吗 31选7 论坛 足球比分网球探网 股票价格指数计算方 温州茶苑官方下载 幸运快三助手免费版 体彩排列7 呼和浩特小姐指南