缓解的方法通常就是进行用户安全意识培训,尤其通过一些实例,比如模拟钓鱼,然后公开钓鱼的成果,这样用户印象会比较深刻。下次遇到类似的情况就会考虑多一些。
首先是弱密码,尽管可能有各种防止弱密码的策略。但是工作中首先考虑的是更好更快的完成工作。所以弱密码还是很常见的。此外还可能有很多别的途径可能泄露了密码,像工作中临时提供给需要的第三方没有及时修改等等。降低风险的方式就是实行严格的密码设置策略。不过包含数字字母符号的密码可能依然是字典里存在的弱密码。
大公司可能会对所有的办公电脑统一管理,按时升级各种补丁。但是现在有越来越多的设备类型,笔记本,手机,平板等都可能在工作中用到。而这些设备是否存在漏洞,是否安装补丁是用户自己负责的。办公电脑上用户自己安装的第三方软件,比如浏览器等等可能也没有统一的补丁升级策略。降低风险的方法可以通过定期的漏洞扫描来降低风险。
云服务的应用越来越广泛,就拿网盘来说,大家都在用。假如把公司的资料放在网盘上是否存在风险呢。如果一些大的网盘提供商被入侵或是数据泄露,那么后果是不堪设想的。其实敏感资料放在第三方之后,就已经不是自己可控的了。降低风险的方法可以培训用户安全意识,尽量选择靠谱的大公司的服务,一些非常重要的资料不要放到第三方那里。
移动互联网今天已经如此火爆了。手机中通常也会有工作的资料,比如手机登陆了工作邮箱,手机联系人,甚至邮箱密码等。不仅仅是丢手机,把手机借给别人会导致信息泄露。现在手机更新换代都很快,据调查eBay上卖的二手手机,依然保存有私人数据的比例超过50%。考虑到数据恢复技术,这种风险可能更大。不知道taobao上的这个比例能有多少。前面提到过,手机其实很少有定期打补丁。所以恶意APP导致信息泄露的风险也很高。因为这个是用户自己控制的设备。所以我能想到的降低风险方法可能就是所谓的制定安全策略,进行安全意识培训。
解决方案的探讨
从SIEM的角度来说可以进行用户活动监控,管控风险。SIEM简单来说就是收集环境内的各种设备和应用的安全事件,进行统一解析和关联分析从而进行风险管理和告警的产品。
用户活动监控的概念其实我们都很常用。就是QQ账号异地登陆会有风险提示或者高危操作会锁定账号。把这个概念扩展到用户登陆公司邮箱,登陆服务器等等账号的活动。下面通过两个场景看一下这个解决方案的思想。
攻击者先用awvs扫描公司主页,一番尝试没有发现可以利用的漏洞。然后通过whois查询到网站管理员的工作邮箱。通过一些简单社工和查询社工库获得了该管理员的常用密码,很不幸的是这个常用密码恰好也是管理员工作邮箱的密码。所以攻击者顺利登陆了管理员的邮箱。那么这个过程中,SIEM看到的是什么过程呢。首先awvs扫描网站,siem获取到这些网站日志之后,认为这个来源ip在进行尝试攻击的行为,会把这个ip加入一个黑名单当中。当攻击者登陆邮箱的时候,这时候是从一个黑名单IP登陆了高级别的管理员邮箱(可以对不同人员的账号进行风险评级,就跟对资产进行分级一样)。系统会发出告警。甚至可以临时禁用这个邮箱账号。
公司员工由于在社交网站上点击了一个链接导致个人笔记本被控制。攻击者在笔记本上发现了一个公司服务器的ssh账号。那么攻击者在登陆服务器的时候SIEM可以做些什么呢。ssh登陆服务器,一般都是在公司内,也就是用内网地址登陆的。所以SIEM可以内置登陆ip的白名单。根据公司的工作习惯,可以设置登陆时间一般是早九点到晚九点。那么当攻击者登陆服务器的时候,如果没有用员工电脑做跳板,直接登陆的话。SIEM会看到一个别的地区的ip(比如美国)登陆了我们的服务器,会产生告警事件。如果攻击者为了隐蔽,选择在夜深人静的午夜登陆服务器,那么刚好触发了在非正常时间登陆的策略,也会产生告警。
*由于种种原因,不恰当的地方还请大家多多指正。
网络安全课程
