网盾科技IT教育,只培训技术精英
全国免费咨询电话: 15827351614
关于企业员工存在的安全风险的一些看法
       人是安全管理中最大的安全隐患。不记得这句话从哪里看到的了。不过我们经常会看到类似于从一个司机邮箱渗透到企业重要系统的案例(参考资料1),越来越热的apt攻击也选择人作为突破口。比如针对Google的极光攻击就是因为一个员工点击了聊天消息的链接从而导致被渗透的(参考资料2)。
 
       所以当防火墙配置恰当,数据已经加密,防病毒升级到最新,所有的措施都安排妥当之后,不要忘记人也是一个很大的风险来源。本文会先介绍企业员工可能导致的安全风险以及常用的防御方法。最后会从SIEM的角度尝试一种可能的解决方案。

风险类型
 
  • 社会工程学
        这个大家都很熟悉了。钓鱼,社工库,丢优盘,送路由之类的。利用人性的一些特点来实现攻击。比如某大牛曾经说过随便挑一个下午去滨江阿里巴巴园区的星巴克坐着,就能黑掉网易。(参考资料3)
 
       缓解的方法通常就是进行用户安全意识培训,尤其通过一些实例,比如模拟钓鱼,然后公开钓鱼的成果,这样用户印象会比较深刻。下次遇到类似的情况就会考虑多一些。
 
  • 用户的密码
       首先是弱密码,尽管可能有各种防止弱密码的策略。但是工作中首先考虑的是更好更快的完成工作。所以弱密码还是很常见的。此外还可能有很多别的途径可能泄露了密码,像工作中临时提供给需要的第三方没有及时修改等等。降低风险的方式就是实行严格的密码设置策略。不过包含数字字母符号的密码可能依然是字典里存在的弱密码。
  • 用户资产存在漏洞
       大公司可能会对所有的办公电脑统一管理,按时升级各种补丁。但是现在有越来越多的设备类型,笔记本,手机,平板等都可能在工作中用到。而这些设备是否存在漏洞,是否安装补丁是用户自己负责的。办公电脑上用户自己安装的第三方软件,比如浏览器等等可能也没有统一的补丁升级策略。降低风险的方法可以通过定期的漏洞扫描来降低风险。
  • 使用各种云服务
       云服务的应用越来越广泛,就拿网盘来说,大家都在用。假如把公司的资料放在网盘上是否存在风险呢。如果一些大的网盘提供商被入侵或是数据泄露,那么后果是不堪设想的。其实敏感资料放在第三方之后,就已经不是自己可控的了。降低风险的方法可以培训用户安全意识,尽量选择靠谱的大公司的服务,一些非常重要的资料不要放到第三方那里。
  • 移动设备
       移动互联网今天已经如此火爆了。手机中通常也会有工作的资料,比如手机登陆了工作邮箱,手机联系人,甚至邮箱密码等。不仅仅是丢手机,把手机借给别人会导致信息泄露。现在手机更新换代都很快,据调查eBay上卖的二手手机,依然保存有私人数据的比例超过50%。考虑到数据恢复技术,这种风险可能更大。不知道taobao上的这个比例能有多少。前面提到过,手机其实很少有定期打补丁。所以恶意APP导致信息泄露的风险也很高。因为这个是用户自己控制的设备。所以我能想到的降低风险方法可能就是所谓的制定安全策略,进行安全意识培训。

解决方案的探讨
 
       从SIEM的角度来说可以进行用户活动监控,管控风险。SIEM简单来说就是收集环境内的各种设备和应用的安全事件,进行统一解析和关联分析从而进行风险管理和告警的产品。
 
       用户活动监控的概念其实我们都很常用。就是QQ账号异地登陆会有风险提示或者高危操作会锁定账号。把这个概念扩展到用户登陆公司邮箱,登陆服务器等等账号的活动。下面通过两个场景看一下这个解决方案的思想。

  • 场景一:社工邮箱密码
      攻击者先用awvs扫描公司主页,一番尝试没有发现可以利用的漏洞。然后通过whois查询到网站管理员的工作邮箱。通过一些简单社工和查询社工库获得了该管理员的常用密码,很不幸的是这个常用密码恰好也是管理员工作邮箱的密码。所以攻击者顺利登陆了管理员的邮箱。那么这个过程中,SIEM看到的是什么过程呢。首先awvs扫描网站,siem获取到这些网站日志之后,认为这个来源ip在进行尝试攻击的行为,会把这个ip加入一个黑名单当中。当攻击者登陆邮箱的时候,这时候是从一个黑名单IP登陆了高级别的管理员邮箱(可以对不同人员的账号进行风险评级,就跟对资产进行分级一样)。系统会发出告警。甚至可以临时禁用这个邮箱账号。
  • 场景二:控制员工笔记本获取到敏感信息
       公司员工由于在社交网站上点击了一个链接导致个人笔记本被控制。攻击者在笔记本上发现了一个公司服务器的ssh账号。那么攻击者在登陆服务器的时候SIEM可以做些什么呢。ssh登陆服务器,一般都是在公司内,也就是用内网地址登陆的。所以SIEM可以内置登陆ip的白名单。根据公司的工作习惯,可以设置登陆时间一般是早九点到晚九点。那么当攻击者登陆服务器的时候,如果没有用员工电脑做跳板,直接登陆的话。SIEM会看到一个别的地区的ip(比如美国)登陆了我们的服务器,会产生告警事件。如果攻击者为了隐蔽,选择在夜深人静的午夜登陆服务器,那么刚好触发了在非正常时间登陆的策略,也会产生告警。
 
    *由于种种原因,不恰当的地方还请大家多多指正。