企业安全痛点之员工行为难管控（一）

近期想讲一些我看到企业安全最严重威胁和运营痛点，不出意外，这会是一个系列，前面几篇先说问题，后面再说解决方案，讲到的所有观点和案例，都是通过实践而来，会基本覆盖我的核心安全观。每天只写1000字左右，没写完的痛点拆开写，文章后面附上一张我们给客户的安全意识墙面小贴士。

 

以往，不管是安全甲方还是乙方，安全工作都是围绕应用跟操作系统去做，比如WAF、IPS、SDL等，解决的都是系统跟应用的问题，所以应用跟操作系统的漏洞越来越少。而唯独只有我跳出来做一家公司解决人的问题，因为在近年我通过渗透测试服务发现，最大的问题不在于系统和应用，而在于人，一切问题都源自于人，人的行为和意识错误导致漏洞频出，今天就说说员工的行为难管控的问题。

 

 员工行为难管控体现在如下几个方面，有没有发生过此类事件可自行对号：

 

1、滥用云笔记及网盘（重灾区）

将vpn密码、wifi密码、服务器密码、阿里云或运营后台密码...记录在个人云笔记、网盘、icloud，技术岗位的人最爱干这事，而且这个行为一旦犯了就会导致企业被直接入侵，什么waf、ips在这种情况下都是摆设。互联网企业的员工，基本上70%以上的员工都会用这些东西，特别是权限多的研发、运维岗位，在以往给客户实施渗透测试服务时，通过这种方式屡试不爽，越是大公司在这块威胁越大，为什么？因为员工多啊，总有X一样的队友。如果员工在公司办公，则能在路由上就能对这些云服务进行禁止访问，但是有几个员工不会把电脑带回家办公呢？这种情况下很难限制员工的行为。

 

来看看乌云上的案例。

a、极客学院某员工印象笔记

 

b、豌豆荚某员工印象笔记

 

2、将公司代码存储在Github、oschina、Bitbucket等。

   这个行为是研发岗位常犯的错误，稍微大一点的互联网企业几乎无一幸免，可以去乌云网搜索一下“github”看看结果。这些泄露的代码有什么危害呢？代码里面包含的邮箱密码、数据库密码，一旦被搞渗透的人拿到，直接登陆企业邮箱，翻到VPN密码，连接数据库，轻轻松松就能把数据库给拖掉，这样的案例太多太多。

 

a、金立员工将代码存放到github。

 

 

3、员工企业邮箱与外部个人账号密码一致。

 

密码通用的习惯，据经验大概95%以上的人都这么干，在早之前曝光的网易5亿的会员数据泄露等此类事件，曝光的任何一份数据其实在N年前就已经在地下流传，只是有的人不多，民间有的人甚至将国内知名企业都入侵了个遍，手上偷回来的数据达大几十亿条。

试想，中国网民才多少，也就意味着，你只要一出生，别人手里就拿着你的信息，你只要一上网，别人就知道你密码是多少！永远都不要在这些人面前谈隐私两个字，人家只会在心里呵呵一下。

一个技术岗位的员工，像研发、运维、测试、安全，或者非技术岗位的客服、运营，员工入职的时候，交接文档有没有？交接文档里面有什么？服务器密码、后台地址密码、阿里云密码等等，不仅有，还注释的清清楚楚、明明白白。另外技术岗位基本都有VPN权限，邮件列表里面一搜“VPN”，密码妥妥的，就算没有，随便编个理由给网络负责人发个申请VPN的邮件，一会儿的时间妥妥的给你把VPN开通好。

 

今日结束，期待明日，敬请关注微信公众号【互联网安全与创业】。

企业安全墙面小贴士：

本文始发于微信公众号（互联网安全与创业）：企业安全痛点之员工行为难管控（一）