人是安然治理中最大年夜的安然隐患。不记得这句话从哪里看到的了。不外我们常常会看到近似于从一个司机邮箱渗入到企业首要系统的案例,愈来愈热的apt报复打击也选择人作为冲破口。好比针对Google的极光报复打击就是因为一个员工点击了聊天动静的链接从而导致被渗入的。
所以当防火墙建设得当,数据已加密,防病毒进级到最新,所有的办法都放置安妥以后,不要健忘人也是一个很大年夜的风险来历。本文会先介绍企业员工可能导致的安然风险和常常利用的防御编制。最后会从SIEM的角度测验测验一种可能的解决方案。
风险类型
社会工程学
这个大年夜家都很熟谙了。垂钓,社工库,丢优盘,送路由之类的。操纵人道的一些特点来实现报复打击。好比某大年夜牛曾说过随便挑一个下战书往滨江阿里巴巴园区的星巴克坐着,就可以黑掉就逮易。
减缓的编制凡是就是进行用户安然意识培训,特别经由过程一些实例,好比摹拟垂钓,然后公开垂钓的功能,如许用户印象会比较深切。下次碰着近似的环境就会考虑多一些。
用户的暗码
起首是弱暗码,虽然可能有各类避免弱暗码的策略。可是工作中起首考虑的是更好更快的完成工作。所以弱暗码仍是很常见的。别的还可能有良多别的路子可能泄漏了暗码,像工作中姑且供给给需要的第三方没有及时点窜等等。降落风险的编制就是实施严格的暗码设置策略。不外包含数字字母符号的暗码可能仍然是字典里存在的弱暗码。
用户资产存在缝隙
大公司可能会对所有的办公电脑统一治理,按时进级各类补丁。可是此刻有愈来愈多的设备类型,笔记本,手机,平板等都可能在工作顶用到。而这些设备是不是存在缝隙,是不是安装补丁是用户本身负责的。办公电脑上用户本身安装的第三方软件,好比浏览器等等可能也没有统一的补丁进级策略。降落风险的编制可以经由过程按期的缝隙扫描来降落风险。
利用各类云办事
云办事的利用愈来愈遍及,就拿网盘来讲,大年夜家都在用。假定把公司的资料放在网盘上是不是存在风险呢。假定一些大年夜的网盘供给商被进侵或是数据泄漏,那么后果是不堪假想的。其实敏感资料放在第三方以后,就已不是本身可控的了。降落风险的编制可以培训用户安然意识,尽可能选择靠谱的大公司的办事,一些很是首要的资料不要放到第三方那边。
移动设备
移动互联网今天已如斯火爆了。手机中凡是也会有工作的资料,好比手机登岸了工作邮箱,手机联系人,乃至邮箱暗码等。不但仅是丢手机,把手机借给他人会导致信息泄漏。此刻手机更新换代都很快,据查询拜访eBay上卖的二手手机,仍然保留有私家数据的比例超越50%。考虑到数据恢复手艺,这类风险可能更大年夜。不知道taobao上的这个比例能有多少。前面提到过,手机其实很少有按期打补丁。所以歹意APP导致信息泄漏的风险也很高。因为这个是用户本身节制的设备。所以我能想到的降落风险编制可能就是所谓的拟定安然策略,进行安然意识培训。
解决方案的切磋
从SIEM的角度来讲可以进行用户勾当监控,管控风险。SIEM简单来讲就是汇集环境内的各类设备和利用的安然事务,进行统一解析和联系关系阐发从而进行风险治理和告警的产品。
用户勾当监控的概念其实我们都很常常利用。就是QQ账号异地登岸会有风险提示或高危把持会锁定账号。把这个概念扩大到用户登岸公司邮箱,登岸办事器等等账号的勾当。下面经由过程两个场景看一下这个解决方案的思惟。
场景一:社工邮箱暗码
报复打击者先用awvs扫描公司主页,一番测验测验没有发现可以操纵的缝隙。然后经由过程whois查询到网站治理员的工作邮箱。经由过程一些简单社工和查询社工库获得了该治理员的常常利用暗码,很不幸的是这个常常利用暗码刚好也是治理员工作邮箱的暗码。所以报复打击者顺利登岸了治理员的邮箱。那么这个过程中,SIEM看到的是甚么过程呢。起首awvs扫描网站,siem获得到这些网站日记以后,觉得这个来历ip在进行测验测验报复打击的行动,会把这个ip加进一个黑名单傍边。当报复打击者登岸邮箱的时辰,这时候辰是从一个黑名单IP登岸了高级别的治理员邮箱(可以对不合人员的账号进行风险评级,就跟对资产进行分级一样)。系统会发出告警。乃至可以姑且禁用这个邮箱账号。
场景二:节制员工笔记本获得到敏感信息
公司员工因为在社交网站上点击了一个链接导致小我笔记本被节制。报复打击者在笔记本上发现了一个公司办事器的ssh账号。那么报复打击者在登岸办事器的时辰SIEM可以做些甚么呢。ssh登岸办事器,一般都是在公司内,也就是用内网地址登岸的。所以SIEM可以内置登岸ip的白名单。按照公司的工作习惯,可以设置登岸时候通常为早九点到晚九点。那么当报复打击者登岸办事器的时辰,假定没有效员工电脑做跳板,直接登岸的话。SIEM会看到一个别的地区的ip(好比美国)登岸了我们的办事器,会产生告警事务。假定报复打击者为了埋没,选择在夜深人静的午夜登岸办事器,那么刚好触发了在非正常时候登岸的策略,也会产生告警。
因为各种启事,不得当的处所还请大年夜家多多斧正。