“企业的200多台电脑全部瘫痪,我们怀疑有人恶意破坏,”据媒体报道,1月初,辽宁省盘锦市某公安分局接到企业报案:该公司的网络遭到人为恶意破坏,造成公司网络瘫痪,无法正常运营生产。接到报案后,当地网安大队民警立即开展侦查工作。
内部员工变成“内鬼”攻击自家公司的例子,在国内外屡见不鲜。
“Verizon 数据泄露调查报告表明,虽然内部威胁仅占所有数据泄露的 28%,但它们通常被认为是当今企业预防和检测成本最高且最困难的威胁。” 奇安信数据安全子公司副总经理姚磊表示,最主要的原因,是组织内部员工通常对组织内部情况了如指掌,并具备足够的、甚至超过自己所需的权限来访问组织内部敏感信息,所以他们通常可以轻松且合法地绕过组织的安全措施而不会引发风险预警,因为组织认为他们是“受信任的用户”。
这其中,恶意内部人员的攻击行为最难以被察觉。恶意内部人员的动机有很多潜在因素(情绪愤怒、财务困境、社会因素等),因此,要查明谁是潜在的恶意内部人员,或者他们的特定动机是什么,并不总是那么容易。
就如同本文开头的例子,由于员工感觉在薪酬及加班等问题上对自己不公平,对公司怀恨在心,于是利用自身的特权,使用公司内部网络管理账号登录网关管理系统,造成了不可估量的破坏。这个示例虽然没有给企业带来致命打击,但是也足以起到警示作用,组织需要采取控制措施以更有效地预防潜在的内部恶意行为。
奇安信提醒,任何公司组织的内部都拥有大量特权人员,他们在日常开展工作时(比如运维人员需要接入主机开展运维、开发人员需要接入源码库访问源代码),必须通过特权访问权限登录到组织的关键资产。当特权访问发生时,确保授予特权人员适当的访问权限至关重要,组织需要避免关键信息因未得到充分保护而外泄。
除了对特权凭据的安全进行关注之外,企业还需要注意,内部用户利用安全漏洞的另一种方式是通过“后门”账户。在许多事件中,内部用户通过手动创建的“后门”账户来访问组织敏感且有价值的数据,从而绕过合法特权凭据。很多时候,这会导致不受监控的特权访问,并且可能会给组织带来灾难性的后果。
总体来看,作为企业,很难知道内部员工是否或者何时会变成“内鬼”,更难知道谁可能成为攻击的受害者并导致其账户被利用。为了有效防范内部威胁,组织必须首先了解谁拥有对哪些系统的特权访问权限,然后通过最小权限原则最小化特权用户的访问权限,以减少特权攻击面。
原文始发于微信公众号(奇安信集团):员工扮“黑客”入侵公司致200台电脑瘫痪,内鬼该如何防范?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论