在进行企业安全规划和建设前,安全团队首先要搞清楚自己所在企业面临的安全挑战有哪些?都来自什么地方?这些安全挑战可能会对企业哪些方面造成影响,以及影响程度如何?只有真正理解和搞清楚这几个关键问题后才能做到“对症下药”,从而制定出相对合理、完善的整体安全规划,然后结合企业自身的安全投入、企业的发展阶段以及所拥有的资源开展分阶段的体系化安全建设,逐步将整体安全规划进行有效落地并持续运营起来,将企业的安全风险控制在一个可接受的范围内,最终实现“药到病除”的效果。
现在我们以企业视角,从安全风险来源、攻击者动机分析、可能采用的攻击方式/手段以及潜在安全影响/后果这四个方面来展开,较为全面的分析一家互联网企业面临的安全挑战都有哪些。为了有一个直观的理解,先来看一张整体的图:
如上图所示,一家互联网企业的安全风险主要来自以下四个方面:
1、外部攻击:
外部攻击通常来自黑客攻击团伙、灰黑产以及其他外部的恶意攻击者。这类攻击者的动机非常明确,那就是利益驱使。只要有利可图,一定会闻风而来。如果你所在企业现阶段受到来自外部攻击者的攻击较少或没有,那么可能有两种情况:一是企业的安全感知能力较弱,没有主动发现攻击;二是利益不够大或者攻击获利变现难度高,未能吸引外部攻击者。
在采用的攻击手段/方式上黑客攻击团伙和灰黑产会有一些区别。黑客攻击团伙可能会采用定向渗透攻击、DDOS、APT、植入挖矿木马、勒索病毒等方式来获利,而灰黑产更多时候会倾向于利用一些和业务规则/产品设计相关的逻辑漏洞/缺陷进行攻击获利,比如批量恶意注册、撞库攻击、恶意退费、薅羊毛、电信诈骗等。灰黑产早已形成了非常成熟和完善的产业链,从业人员众多,分工明确,并实现了高度自动化和上下游资源整合。无论是黑客攻击团伙,还是灰黑产,都是企业不可忽视的第一大安全威胁。如果被“拖库”会造成批量敏感数据泄露,DDOS攻击可能造成业务响应变慢、甚至业务完全中断,使业务的稳定性和可用性受到影响,最终导致业务无法正常开展。不仅会带来直接或间接的经济损失,还会对公司的声誉、公信力造成负面影响。
通常来讲,一个企业对攻击者的吸引力和其业务规模、平台大小、知名度等因素成正比,也就是说一个企业的平台规模越大,业务做的越好,知名度和影响力越大,越容易受到外部攻击者的亲睐,攻防对抗越激烈。与此同时,在受到攻击时造成的影响和损失越大。这也是为什么大企业相对重视安全、安全投入较多的主要原因之一,安全是一个企业发展到一定阶段的刚需。
下面是一些业界披露的由外部攻击引发的重大安全事件:
2、内部违规:
内部人员安全违规,是企业面临的另一大潜在安全威胁。企业内部安全违规人员,行业俗称“内鬼”。“堡垒最容易从内部攻破”这句话绝非危言耸听,业界有大量内部人员违规泄露企业敏感数据造成重大损失的安全事件。虽然和外部攻击者相比,来自内部的攻击是一种小概率事件,但一旦发生,给企业带来的影响和造成的损失通常比外部攻击者更大。并且内部人员相比外部攻击者更具有一些先天优势和便利条件,他们更熟悉业务,更了解企业内部的情况,本身处于内网,还拥有很多内部系统权限,有些岗位因为工作原因每天都可以接触到大量公司敏感数据和资料,比如DBA、数据分析师、HR、财务预算与分析、市场运营等岗位。
从目前各家企业的安全建设成熟度来看,主动发现内部安全异常/违规行为的能力要远远低于对于外部攻击的主动感知能力。客观的讲,大多数企业内部安全建设做的都不太好。但这其实很多时候并不是安全团队的责任,造成这种局面的原因主要有以下几点:
2.1、企业中、高层和大部分基层员工天真的认为内网就是安全的,内部的人都是可信的。对于内部安全策略/制度的执行采取消极甚至是对立态度,认为安全小题大作,影响内部效率。这个问题本质上是由于这部分人员对企业安全的理解和认知水平低,从而主观上不重视内部安全建设,抱有侥幸心理。
2.2、绝大多数企业在安全建设投入上严重不足,没人、没钱、没资源是很多企业安全团队的现状和困境,这也是为什么会有那么多“一个人的安全部”的根本原因所在。这种情况下安全团队只能将极其有限的资源和精力投入到优先级和紧急程度更高的外部安全建设事宜上。
2.3、很多企业内部IT基础设施、系统/平台建设基础差,成熟度低。有些系统连正常的业务功能都不完整,更不要说必要的安全功能了。这就导致很多内部安全策略无法真正有效落地。比如有的企业连SSO都没有,何谈内部统一身份认证和内部账号统一管理。
2.4、很多企业高层对于安全的态度是“不要出事,出事唯你是问”,对于安全建设的目标并不明确,也没有对应的安全组织架构设计。这种缺乏明确、合理顶层安全设计带来的后果就是安全团队被随意的挂在某个部门下面,很多时候并没有什么话语权,即使发现内部安全违规/异常行为后定位到具体内部人员后,也很难完成安全违规事件的闭环处置。
除了以上这些因素以外,内部安全违规和正常工作场景有些时候并不那么容易界定,这也在一定程度上导致发现内部安全违规/异常行为难度要更高。
一起来看几起因内部人员安全违规导致重大损失的安全事件:
3、供应链:
随着大型企业对安全重视度和安全建设成熟度的提升,攻击者的攻击成本和难度也同步上升,攻击者开始转变思路,寻找新的突破口。互联网发展到今天,没有哪家公司可以独立存在,都会使用大量开源软件(包含但不限于开发工具、框架、组件、代码库等)和商业产品,也有一些上下游的合作伙伴,未来这种合作和联系会更加紧密。这种合作在为企业业务发展带来帮助的同时,无形中也扩大了企业的攻击面。在这种背景下,供应链攻击应用而生。
供应链攻击(也称为价值链或第三方攻击)是指攻击者通过外部合作伙伴,或访问你系统和数据的提供商,渗入您的系统。从各大安全厂商发布的安全趋势报告和攻防对抗实践来看,这种新型的攻击方式呈逐年上升趋势。
下面是几起比较典型的供应链攻击事件:
4、安全合规:
网络安全已经上升到了国家战略层面,安全监管和合规的趋势会越来越严格,越来越完善,越来越要求落地,而不仅仅是形式上的合规。这一点可以从国内、外发布和执行的各类安全合规要求、标准和法律得到证明,比如欧盟的GDPR、美国的CCPA、国内的《网络安全法》、信息安全等级保护2.0等。这就对企业提出的更高的安全要求,企业一定要真正理解和认识到安全的重要性,将各项安全措施落实到位。否则一旦出现安全问题,不仅可能会受到严厉的处罚,还会影响企业在某些领域的业务开展和外部合作。
下面来一起看几个因未认真履行安全合规义务被监管处罚的案例:
相关文章:
本文始发于微信公众号(安世加):技术干货 | 互联网企业面临安全挑战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论