关于企业员工存在的安全风险的一些看法

人是安全管理中最大的安全隐患。不记得这句话从哪里看到的了。不过我们经常会看到类似于从一个司机邮箱渗透到企业重要系统的案例(参考资料1),越来越热的apt攻击也选择人作为突破口。比如针对Google的极光攻击就是因为一个员工点击了聊天消息的链接从而导致被渗透的(参考资料2)。

所以当防火墙配置恰当,数据已经加密,防病毒升级到最新,所有的措施都安排妥当之后,不要忘记人也是一个很大的风险来源。本文会先介绍企业员工可能导致的安全风险以及常用的防御方法。最后会从SIEM的角度尝试一种可能的解决方案。

风险类型

社会工程学

这个大家都很熟悉了。钓鱼,社工库,丢优盘,送路由之类的。利用人性的一些特点来实现攻击。比如某大牛曾经说过随便挑一个下午去滨江阿里巴巴园区的星巴克坐着,就能黑掉网易。(参考资料3)

缓解的方法通常就是进行用户安全意识培训,尤其通过一些实例,比如模拟钓鱼,然后公开钓鱼的成果,这样用户印象会比较深刻。下次遇到类似的情况就会考虑多一些。

用户的密码

首先是弱密码,尽管可能有各种防止弱密码的策略。但是工作中首先考虑的是更好更快的完成工作。所以弱密码还是很常见的。此外还可能有很多别的途径可能泄露了密码,像工作中临时提供给需要的第三方没有及时修改等等。降低风险的方式就是实行严格的密码设置策略。不过包含数字字母符号的密码可能依然是字典里存在的弱密码。

用户资产存在漏洞

大公司可能会对所有的办公电脑统一管理,按时升级各种补丁。但是现在有越来越多的设备类型,笔记本,手机,平板等都可能在工作中用到。而这些设备是否存在漏洞,是否安装补丁是用户自己负责的。办公电脑上用户自己安装的第三方软件,比如浏览器等等可能也没有统一的补丁升级策略。降低风险的方法可以通过定期的漏洞扫描来降低风险。

使用各种云服务

云服务的应用越来越广泛,就拿网盘来说,大家都在用。假如把公司的资料放在网盘上是否存在风险呢。如果一些大的网盘提供商被入侵或是数据泄露,那么后果是不堪设想的。其实敏感资料放在第三方之后,就已经不是自己可控的了。降低风险的方法可以培训用户安全意识,尽量选择靠谱的大公司的服务,一些非常重要的资料不要放到第三方那里。

移动设备

移动互联网今天已经如此火爆了。手机中通常也会有工作的资料,比如手机登陆了工作邮箱,手机联系人,甚至邮箱密码等。不仅仅是丢手机,把手机借给别人会导致信息泄露。现在手机更新换代都很快,据调查eBay上卖的二手手机,依然保存有私人数据的比例超过50%。考虑到数据恢复技术,这种风险可能更大。不知道taobao上的这个比例能有多少。前面提到过,手机其实很少有定期打补丁。所以恶意APP导致信息泄露的风险也很高。因为这个是用户自己控制的设备。所以我能想到的降低风险方法可能就是所谓的制定安全策略,进行安全意识培训。

解决方案的探讨

从SIEM的角度来说可以进行用户活动监控,管控风险。SIEM简单来说就是收集环境内的各种设备和应用的安全事件,进行统一解析和关联分析从而进行风险管理和告警的产品。

用户活动监控的概念其实我们都很常用。就是QQ账号异地登陆会有风险提示或者高危操作会锁定账号。把这个概念扩展到用户登陆公司邮箱,登陆服务器等等账号的活动。

下面通过两个场景看一下这个解决方案的思想。

场景一:社工邮箱密码

攻击者先用awvs扫描公司主页,一番尝试没有发现可以利用的漏洞。然后通过whois查询到网站管理员的工作邮箱。通过一些简单社工和查询社工库获得了该管理员的常用密码,很不幸的是这个常用密码恰好也是管理员工作邮箱的密码。所以攻击者顺利登陆了管理员的邮箱。那么这个过程中,SIEM看到的是什么过程呢。首先awvs扫描网站,siem获取到这些网站日志之后,认为这个来源ip在进行尝试攻击的行为,会把这个ip加入一个黑名单当中。当攻击者登陆邮箱的时候,这时候是从一个黑名单IP登陆了高级别的管理员邮箱(可以对不同人员的账号进行风险评级,就跟对资产进行分级一样)。系统会发出告警。甚至可以临时禁用这个邮箱账号。

场景二:控制员工笔记本获取到敏感信息

公司员工由于在社交网站上点击了一个链接导致个人笔记本被控制。攻击者在笔记本上发现了一个公司服务器的ssh账号。那么攻击者在登陆服务器的时候SIEM可以做些什么呢。ssh登陆服务器,一般都是在公司内,也就是用内网地址登陆的。所以SIEM可以内置登陆ip的白名单。根据公司的工作习惯,可以设置登陆时间一般是早九点到晚九点。那么当攻击者登陆服务器的时候,如果没有用员工电脑做跳板,直接登陆的话。SIEM会看到一个别的地区的ip(比如美国)登陆了我们的服务器,会产生告警事件。如果攻击者为了隐蔽,选择在夜深人静的午夜登陆服务器,那么刚好触发了在非正常时间登陆的策略,也会产生告警。

由于种种原因,不恰当的地方还请大家多多指正。

参考资料

从一个司机的邮箱开始测试新网

http://www.wooyun.org/bugs/wooyun-2013-036551

新型威胁分析与防范研究

http://www.freebuf.com/articles/others-articles/16505.html

如何分析《中国黑客传说:游走在黑暗中的精灵》文章内容的真实性?

http://www.zhihu.com/question/20888507/answer/16520252

rapid 7 user insight

http://www.rapid7.com/products/user-insight/

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-01-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏漏斗社区

看!我手里有个Email收集神器

众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且...

1933
来自专栏小樱的经验随笔

网站渗透测试原理及详细过程

网站渗透测试原理及详细过程 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗透测试方法均为(假设为)合法的评估...

7319
来自专栏FreeBuf

黑客的七夕礼物:大量IoT设备Telnet密码列表遭泄露

? 一份包含几千条telnet密码的列表自7月11日起被贴到了Pastebin上,这些密码可以被黑客用来扩大僵尸网络。 来自New Sky Security的...

2988

如何保护您的企业网站免受网络威胁

若你把保护你公司网站免受网络威胁视为浪费时间,那你仅仅只是不知道这种疏忽会给你带来什么损失。

1583
来自专栏FreeBuf

好莱坞特工必备:维基解密公开CIA用来关闭摄像头监控的工具Dumbo

在过去的 20 年里,我们看到成百上千的电影中,秘密间谍或银行抢劫者通过劫持监控摄像机,让监控录制停止或开始无限循环,随后秘密行动悄无声息地开始,不会留下任何痕...

3343
来自专栏walterlv - 吕毅的博客

为修改了链接地址的博客进行重定向

发布于 2017-11-13 17:05 更新于 2018-08...

1251
来自专栏FreeBuf

Linux/Moose蠕虫:操纵路由器“帮你玩”社交网络

ESET的安全研究员发表了一篇技术报告,报告中详细分析了一个新的蠕虫Linux/Moose。它的攻击对象主要是调制解调器、家用路由器和其他嵌入式计算机,可将这些...

23910
来自专栏FreeBuf

针对爱尔兰DDoS攻击的取证分析

在过去一段时间内,爱尔兰的许多在线服务和公共网络都遭受到了 DDoS 攻击。英国广播公司(BBC)最近的一篇文章[链接]就指出 2016 年 DDoS 攻击事件...

2637
来自专栏FreeBuf

窃听电话的Hacking Team RCSAndroid木马

安卓设备小心:4.0-4.3版本都可以被RCSAndroid 搞定。 安卓平台上的远程控制木马RCSAndroid是目前曝光的安卓中最专业、最复杂的恶意程序之一...

2508
来自专栏FreeBuf

别让你的手机成为恶意软件的温床

手机早已成为人们生活中不可或缺的一部分,在娱乐,移动支付,社交等方面都起到举足轻重的作用,可以说在当今社会手机就是人们重要的“生存”工具之一。但是在享受时代带给...

1480

扫码关注云+社区

领取腾讯云代金券