别让内鬼破坏安全堡垒

admin 2022年1月14日08:00:31安全闲碎评论13 views2203字阅读7分20秒阅读模式
别让内鬼破坏安全堡垒


传统的信息安全建设,往往侧重于对外部黑客攻击的防范,以及网络边界的访问控制,对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。


企事业单位内部人员,特别是拥有信息系统较高访问权限的运维人员(如网管员、临时聘用人员、第三方代维人员、厂商工程师等),比外部入侵者更容易接触到信息系统的核心设备和敏感数据,因此,内部人员恶意或非恶意的破坏行为更容易造成较大的损失。


根据网络安全调研结果,超60%的事故均与内部人员有关。


2014年2月,PPS&爱奇艺发生内网渗透。事件起因是某员工操作不当,在源码托管上设置未授权访问,导致内网信息在公网上可以任意访问。


2015年5月,网易、支付宝、携程接连宕机,网络专家呼吁提升运维安全。其中携程网瘫痪近12小时,粗略估算直接损失数百万美元,股价跌11%。携程官方声明此次事件是由于员工错误操作,删除了生产服务器上的执行代码导致。


2017年3月,京东网络安全部员工利用岗位的权职,长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,致使50亿条公民信息泄露。


2018年5月,今日头条前员工因对内部业务比较熟悉,利用技术手段复活并倒卖废弃账号,非法手段牟利高达200多万元。


由此可见,规范内部人员的访问行为,特别是核心系统(主机、网络设备、安全设备、数据等)的维护行为势在必行


当前运维安全管理的难点与挑战


01

缺乏人员身份认证和统一管理


信息系统的维护人员日益增多,鉴于企事业单位战略定位和人力资源等诸多问题,很多企事业单位会将信息系统和业务系统的开发与运维交予第三方系统开发商和运维公司,加之企事业单位内部人员流动和各类第三方厂商,人员繁多且关系复杂。


出于信息化系统建设的便利性和内控管理制度的欠缺,对运维人员访问信息系统缺乏严格的身份认证和权限划分,权限关系混乱,账号公用滥用,当出现安全事故时相互推诿,缺乏客观、可信的依据来确定事故责任人。


02

缺乏设备资产账号信息安全管理


随着设备数量激增,大量的服务器账号密码成了一个重大管理难题。出于便利性考虑,一般服务器资产账号密码会统一设置和管理,但在信息化系统建设中各类人员需要不断登录和维护设备,由于密码基本相同,所有系统账号信息基本人尽皆知,存在着巨大的安全隐患。


如果出于安全性考虑,管理人员各司其职管理各自的设备账号信息,则每个用户需要记忆多个不同的账号密码信息,导致管理工作量与复杂度大幅增加,使得运维效率下降,且还容易导致账号密码信息丢失和遗忘。设备账号密码信息管理已进退维谷。


03

缺乏有效的访问控制和高危操作预防


一般企事业单位内部的网络访问控制管理都较为粗犷,一旦接入到网内即可访问到各类核心的业务服务器,需要非常完善和严谨的访问控制管理制度,但完善的管理制度又催生了极大的人力和时间成本,加之交换机和防火墙中访问控制的便利性和实效性较差,频繁的变更和过多臃肿的访问控制策略使管理非常的繁琐和不便。


且运维操作管理制度难落实和操作权限控制的缺乏,加之各类高权限账号滥用(如administrator和root账号),各类恶意操作和误操作频发,导致各类核心业务数据被窃取和业务中断,对企事业单位将造成不可挽回的名誉及经济损失,而事后追查也只能是亡羊补牢而已。


04

缺乏完整的运维操作审计记录


为保障系统的安全性,日常运维中都以加密协议为主(如RDP和SSH协议),由于系统自身操作日志的缺乏,加密协议无法在网络中审计抓取,给操作审计带来了严峻的挑战,当出现运维事故时无法准确定位故障原因,导致故障排查周期过长带来更多的损失,以及缺乏事故客观、有利的证据。


知道创宇运维审计堡垒机系统
全流程操作行为管理


知道创宇运维审计堡垒机系统是新一代操作行为管理安全审计系统,它采用软硬件一体化设计,通过B/S方式(https)进行管理。其主要功能为实现对运维人员远程访问操作服务器、网络设备、数据库过程的认证、授权、监控与审计,实现对IT运维过程的全面监管,做到有效的事前预防、事中控制及事后审计,满足用户的安全管理需求。


该产品采用先进的设计理念,支持多种远程维护方式,如字符终端方式(SSH、Telnet、Rlogin)、图形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件传输(FTP、SFTP)以及多种主流数据库的访问操作。


知道创宇运维审计堡垒机系统的应用效果如下:


规范运维管理:统一访问入口,集中权限控制,实现运维操作的规范化管理。


满足合规要求:完善组织的内控与审计体系,从而满足合规要求,使组织能够顺利通过IT审计。


降低资源风险:有效防止误操作、滥操作以及越权访问对新业务系统造成破坏。


完善责任认定:快速的故障定位,提高故障处理效率,提供精准的责任鉴定和事故追溯。


该系统能够对运维人员的维护过程进行全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限,实时阻断违规、越权的访问行为,同时提供维护人员操作的全过程记录与报告;系统还支持对加密与图形协议进行审计,消除了传统行为审计系统中的审计盲点,是IT系统内部控制最有力的支撑平台之一。




别让内鬼破坏安全堡垒
精彩推荐



「无源雷达」亮相新品发布季,“全面测绘”再下一城!
信息违规处理?《个人信息保护法》重拳出击!
《新民周刊》对话知道创宇张永波:数据安全关乎国家安全


别让内鬼破坏安全堡垒
别让内鬼破坏安全堡垒

👇 点击阅读原文,了解更多“堡垒机”~

本文始发于微信公众号(知道创宇):别让“内鬼”破坏安全堡垒

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月14日08:00:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  别让内鬼破坏安全堡垒 http://cn-sec.com/archives/475789.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: