安全以人为本:解读微盟删库事件
微盟删库事件暴露的,只是企业内部威胁的“冰山一角”。...
点击蓝字关注我们
“抗疫免费”的全民远程办公saas,营销大战尘埃尚未落定,本周曝出的微盟删库事件就给中国,企业当头一记狼牙棒。截至本文发稿,根据微盟最新的通告,原有商户的生产数据的恢复,要等到28日。对于在线业务完全依赖,微盟平台的商户来说,“心脏停跳”5日后,生产数据能否完全恢复,目前看来还是个未知数。
对于中国企业数字化,转型的决策者来说,微盟删库事件的警示意义不仅是一家知名度极高的云服务,企业发生了重大数据违规行为,导致股票市值暴跌12亿,港币,也不仅是因为千千万万微盟SaaS商户蒙受了无法估算的巨大经济损失,而是因为该事件暴露的“网络安全债”,在大多数企业中都普遍,存在。
某央企运维总经理在接受安全牛,采访时表示:
微盟删库事件影响巨大,有可能是一个标志性、拐点性的事件。该事件从架构安全、员工行为、内外部风险、it运维数据管控机制和制约,环节等等方面都暴露出巨大问题,再一次拉响了内部风险,的警报。
但也同时指出:该事件对安全服务来说可能意味着一个,巨大的商机开启。如果能有一个体系化管控数据库,操作各环节、各步骤的平台,特别是涉及到关键,指令下达缓解、有操作复核确认,甚至是授权复核,未来一定会有,巨大的市场空间。
坐堂问诊:如何根治“删库跑路”
对于微盟删库事件,安华金和认为根源是目前很多企业,在没有充足的时间与经验支撑下,仓促“转型”线上远程办公模式,因此普遍缺乏完善的,运维安全管理体系。
美创科技在接受安全牛,采访时表示:作为距离企业数据最近,的角色之一,运维人员正给企业数据带来了,防不胜防的隐患,然而企业在数据安全建设中往往最容易,忽视这一环节,存在以下几个常见问题:
1. 数据库账号密码管理缺乏,严格有效的访问控制机制;
2. dba等高权限得不到,管控,易发生越权操作行为;
3. 误操作数据后无法恢复,敏感数据得不到有效保护;
4. 数据库内部操作无法审计,导致数据泄露后,无法准确溯源。
对于如何预防和管理“删库”风险,派拉软件认为:对于内部威胁,企业需要技术与管理双层,把控。首先在管理层面上,企业文化先行,关怀员工,关注员工身心健康,普及相关事件的危险性及,犯罪性,运维管理制度要实行双权,甚至三权分立,不能一人独管企业核心,资产运维。
派拉软件指出,企业如果能在特权,身份安全上做到以下六点,可有效防范此类,事故的再次发生:
1. 持续收集并管理特权账户;
2. 多因素认证;
3. 访问控制(实时监控、限时授权运维、高危命令处理);
4. 用户行为分析(风险动态感知);
5. 实时监控运维动作并通知;
6. 全维度的审计。
齐治科技解决方案专家于遨洋认为要杜绝这,类恶意操作事件,必须在运维过程中,增强管控,加强对特权账号的管控、加强对访问权限的控制、加强对高危命令的复核。
从技术方面来看,美创科技认为“防删库”要从集成多因素准入控制、敏感数据资产分级分类、危险误操作审批流程、数据动态脱敏和精准审计五个,方面来解决运维环节的数据安全威胁。
安恒信息网关事业群吴焱在接受安全牛,采访时则表示,企业保护核心数据,避免删库惨案一再发生,就必须让运维更可控、更安全。具体工作有以下三个重点:
1. 针对重点服务器(包括核心业务、核心数据等),可以参考双人授权的"金库模式",通过动态工单授权申请审批,机制和会话实时控制等方法,确保重点服务器任何时刻,不能被单个账户直接操作。
2. 针对普通服务器,做到事前权限预分配,通过细粒度的权限控制、命令管控、多重身份认证等实现事中,访问控制,避免权限分配不合理导致,误操作、越权操作带来的运维,安全事故。
3. 运维过程需要全量审计,通过运维审计提供详细的,审计日志给公安机关作为权威证据,锁定恶意操作者,避免事后无法追查具体的操作人员,及操作过程。
针对“删库跑路”类事件,安华金和基于企业运维工作在数据库权限管理和,审批机制上的建设经验,提出两个解决思路供,安全牛读者参考:
其一,对数据库账户包括dba高权限(高,权限)账户的数据库运维行为进行有效管理,做到对批量删除数据等,高风险操作在事中的有效防控,让删库行为无从下手;
其二,建议制定并严格执行标准的,工单审批流程,以有效规范运维操作行为;就算运维人员(DBA高权限账户)真的需要“执行批量删除”这种大动作,也必须通过申请并,等待审批。
最后,某政府机关安全主管强调,预防微盟删库事件还有一个关键,措施就是加强演练,企业要制定应急演练预案,模拟不同故障,场景定期演练,方能保障业务的持续性。
牛调研删库只是冰山一角:2020是内部威胁保护,元年
“人的因素”是今年rsac2020网络,安全大会的主题,而微盟删库事件,再次强调了这一点:企业面临的最大威胁,往往不是外部攻击,而是内部威胁(包括供应链风险)。
在安全牛年初发布的《2020年企业面临的,20大数据风险》一文中,与内部(人员)威胁有关的就多达12条,按威胁等级排列并,点评如下:
1. 员工疏忽导致数据泄露
2. IT运维管理人员过劳
3. 员工监守自盗
4. 危险的个人通讯(使用未加密的消费级通讯软件和远程办公,协作平台传输敏感数据)
5. 网络钓鱼/鱼叉式钓鱼(尤其是疫情相关钓鱼活动)
6. 员工接受贿赂成为内鬼
7. 过于宽松的员工数据,访问权限(特权账户权限过大且缺乏,有效监管)
8. 员工买卖数据
9. 员工无聊行为(疫情的持续可,加重此类行为)
10. 员工窃取数据用于,个人职业发展(转投竞争对手)
11. 高管离职(又一个特权账户管理问题)
12. 脆弱的密码
可以看出,微盟删库事件的主因“特权账户管理“只是企业内部威胁的”冰山一角“,甚至排不进TOP5。根据Shred-it的一项调查研究,40%的高级管理人员表示疏忽和意外,是最近一次重大信息安全事件的主因。
员工疏忽会比勒索软件、钓鱼攻击、商业间谍、黑客高级攻击更可怕?是的,例如你的一个重要员工,在机场上了一个假热点,发邮件时手一滑把,敏感信息cc给了陌生人,离开时又遗失了未加密,的笔记本电脑。
从本质上看,无论是“疏忽”还是“反水”,内部威胁都是一个与人员、流程、策略和文化有关的综合性,风险管理问题,绝不仅限于特权账户,和数据安全管理。
根据forrester去年发布,的《内部威胁报告》,86%的组织已着手部署,内部威胁管理项目,但除了金融服务企业和处理敏感数据的,企业已经建立了较为成熟的内部人员滥用管理程序,大多数企业仍停留在政策,和计划制定阶段,只有三分之一的公司认为其内部威胁,管理程序已经成熟。
报告指出:
2020年,将是企业把内部威胁功能从,临时措施变为可重复和可改进流程的一年。
防患于未然:内部威胁保护框架与员工心理关注
最近几年,国内外数据库误操作和,删库事件频频发生:
- 2019年12月,由于elasticsearch数据库技术人员,的疏忽,小米生态链企业,智能家居产品制造商wyze泄露,了超过240万北美用户数据,导致wyze在北美市场业务,和品牌声誉蒙受巨大损失。
- 2018年8月,顺丰公司一员工,接到一个变更需求,因为选错了实例,将一数据库删除。因工作不严谨导致该系统上临时车线上发车功能,无法使用并持续约590分钟。事后该员工被开除。
- 2018年4月,vps服务商kuriko因,机房技术人员 rm -rf /*,宿主机上所有数据丢失了。
- 2017年9月,某企业技术工程师帮助广西移动,进行扩容割接(即增加系统容量)时,不小心将hss设备,里面的用户数据格式化删除,导致广西移动近80 万用户数据丢失。
- 2017年6月,reddit网站的一位实习程序员手滑误删了,网站的全部生产数据,险些将这个过去五年全球最,成功的兴趣社交网站从互联网上抹掉。当reddit准备起诉该员,工时,整个硅谷的技术大,咖都一致指责reddit,认为该公司自身糟糕的安全管理,才是根本原因。
- 2017年6月,一家荷兰海牙的云主机,商verelox.com,一名前任管理员删光了该公司所有,客户的数据,并且擦除了大多数服务器上面,的内容。
- 2018年,“前沿数控”因生产云数据备份恢复失败,而濒临倒闭。
- 2018年北京一软件工程师徐某离职后因公司,未能如期结清工资,便利用其在所设计的网站,中安插的后门文件将网站源代码全部删除。最终徐某因破坏计算机信息系统,罪成立,获刑五年。
- 2018年杭州科技公司的技术总监邱某,因不满企业裁员,远程登录服务器删除了数据库,上的一些关键索引和部分表格,造成该企业直接经济损失,225万元,后被判赔偿公司8万元,判刑2年6个月,缓刑三年。
致命的删库(跑路)事件反复上演,暴露出“打地鼠”式的安全管理思路,并不能解决根本问题,企业需要“把内部威胁功能从临时措施变为可重复,和可改进流程”,关键是要找到合适,的内部威胁成熟度参考框架,并在企业战略和风险管理设计层面将安全,作为重要的原生要素考虑,即所谓的安全设计和,原生安全。
早在2018年,受拉德利曼宁和斯诺登事件,的刺激,美国司法部长和国家情报总监联合领导下的国家,内部威胁特别工作组(NITTF)发布了一份新的《内部人员威胁项目成熟度,框架》。该框架的目的是帮助,政府部门和企业大大提升其itp(内部威胁保护)的有效性,变得更主动、更全面、更能威慑、检测和缓解内部人员,威胁风险。
除了内部威胁治理的框架和,管理程序外,IT运维人员的心理问题,例如压力和倦怠,往往也是企业风险管理,的盲区。其实,通过员工心理和语言,行为分析,是可以及早发现和预防怠工,破坏行为的。
2017年情报与国家安全,联盟(INSA)曾发布一篇论文提出,心理语言学分析可用于事前检测内部人员,威胁的发展脉络。
论文讨论了所谓,的怠工行为(CWB),断言恶意内部人,不是天生的,是生活和工作压力迫使他们成,为了恶意内部人士。不断升级的怠工行为,可通过对电子邮件、个人博客、聊天内容和朋友圈的,心理语言学分析加以检测——其理论就是:可以在员工演变为恶意,内部人之前预先检测出来,并施以帮助,防患于未然。
远离不穿裤子的云:SaaS供应商安全性评估
疫情期间,大量saas应用纷纷,打出抗疫免费牌,面对漫天的馅饼,很多企业迷失了方向。其实,企业选择saas云服务,的主要目的不是为了省钱,而是为了在安全稳定的基础上,提高企业敏捷性(例如支持远程团队)、效率和生产力。由于saas产品存在锁定,成本,即使是中小企业和创业,团队,选择供应商时也应该,高度重视供应商安全性评估。
例如,微盟出事了,并不意味着慌慌张张跳上有赞的船,就一定更安全(或不安全),企业必须清楚,云服务商承诺的“n个9”和备份服务,并不能确保数据安全,企业应当对包括云服务商在内的,供应链第三方供应商,主动进行充分的安全性,评估,并形成一个固化的标准,安全流程。
从执行层面来看,设计调查表是安全,评估的关键环节,安全咨询公司tripwire曾对包括saas服务商在内的,第三方供应商安全评估(VSA)的调查表内容给出,了几点建议,这些建议同样适用于供应链上,的其他企业,具体如下:
1
数据资产分类
使数据处于“需要知道”的最小化授权体系中。这不仅包括访问驱动器,共享文件夹,还包括Git,salesforce和confluence等,应用程序。它还确保仅将工具内的适当访问权限授予正确的员工。虽然使用上述工具的开发运维人员,面对信息孤岛和安全控制流程常感沮丧,但是通过防止过分授权,数据访问和操作,企业可以保护数据免受,各种威胁。如果员工只能从受限制的位置,进行数据检索,他们将时刻铭记应当谨慎,处理此类数据。
2
人员聘用和解雇的安全程序
是不是经常有搞IT的朋友跟你说,嘿哥们,想不想知道我几年前做的xx,项目的后台数据,我那个路由器/数据库管理账户还能用。事实无数次表明,人员威胁管理依然是评估供应商的最重要,的标准之一,saas供应商需要证明相关工作,人员的入职和离职流程有效,尤其是确保离职员工或解约承包商无法再,登录查看任何数据。SaaS服务、应用市场、电商平台工作人员因受贿,渎职导致的企业数据泄露事件,已经数不胜数,因此,企业应当要求saas供应商和合作协议中明确,界定数据访问权限、清洗条款和时限、人员就职离职程序,有效性和安全性等。
3
数据备份
有很多缓解风险的方法,其中最重要的就是,对系统进行良好的备份。云服务商会承诺你,多重备份,但是你应当明白,很多时候云服务商自己也,分不清“能”和“会”的区别。
4
服务器强化
对于任何生产系统,运行软件的服务器必须确保安装最新,的补丁程序并符合具其他安全标准。这听上去像是废话,但是请记住,很多时候,测试或实验环境服务器最终会通过,一系列人畜无害的步骤成为关键任务服务器。
5
安全意识
是否所有员工在入职和工作期间都得到了定期的,足够有效的安全培训?如果企业不能定期提醒员工并练习,其安全意识技能,例如通过模拟的网络钓鱼,电子邮件攻击,则企业安全的“人肉”环节将很容易受到打击。
参考资料
美国政府内部威胁保护成熟度框架:
https://www.dni.gov/files/NCSC/documents/nittf/20181024_NITTF_MaturityFramework_web.pdf
相关阅读
2020年企业面临的,20大数据风险
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
关注 安全牛
微信扫一扫关注公众号
