要保障信息安全和系統安全,除了有必要技術手段的支持以外,還要考慮組織和管理的因素,也就是人和流程與制度的因素。
加強安全意識培訓
在造成信息泄露的事件中,有一定比例是由組織內部人員的安全意識缺失導致的。例如,據澎湃新聞報道,“江西省景德鎮市政府信息公開網 曾於2017年10月31日發佈了《第二批大學生一次性創業補貼公示》(信息索取號:H00140-0403-2017-0077),公示單位爲景德鎮市勞動就業服務管理局,責任部門爲景德鎮市人力資源和社會保障局。其中,可供公衆下載的文件公佈了學生姓名、完整身份證號以及聯繫電話等。”應對這種問題的方式是對全員進行信息安全意識培訓,使所有人都參與到信息安全建設中,提高防禦信息泄露的能力。而覃某勝利用其在某大型銀行內部任職技術崗位職務便利在總行服務器植病毒獲利的案例則暴露了組織在安全管理和流程上的漏洞。
在高級持續性威脅(Advanced Persistent Threat,APT)中,通過社會工程方式發送釣魚郵件是黑客組織最常用的攻擊手段。這種以釣魚郵件爲載體的攻擊,又被稱爲“魚叉攻擊”(Spear phishing)。隨着社會工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到高級持續性威脅攻擊的大型企業可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社會工程的惡意郵件有關。黑客剛一開始,就是針對某些特定員工發送釣魚郵件,以此作爲使用高級持續性威脅手法進行攻擊的源頭。例如,臭名昭著的高級持續性威脅組織OceanLotus(海蓮花)在近60%的攻擊中都是將木馬程序作爲電子郵件的附件發送給特定的攻擊目標,並誘使目標打開附件。
一個典型的釣魚郵件攻擊的流程如圖1-6所示:
被截獲的部分釣魚郵件附件如下圖所示:
如圖1-6所示,在一個典型的釣魚郵件攻擊中,黑客可以通過一封看似正常但卻極具僞裝性和迷惑性標題和附件(如圖1-7所示)的郵件就可以讓用戶個人電腦或者服務器失陷。因此,我們要持續教育和告誡員工,不得打開未知來源和與工作無關的郵件,特別是不要被具有誘惑性標題的郵件所迷惑。另外,在發現釣魚郵件時,要及時通知安全管理員介入調查。
特別注意弱密碼問題
根據筆者在應急大量安全事件中得到的經驗,弱密碼問題是導致衆多安全事件的罪魁禍首。同樣,在360發佈的《2018上半年勒索病毒趨勢分析》中也指出,從2016年下半年開始,隨着Crysis/XTBL的出現,通過RDP弱口令暴力破解服務器密碼人工投毒(常伴隨共享文件夾感染)逐漸成爲主角。到了2018年,幾個影響力最大的勒索病毒幾乎全都採用這種方式進行傳播,這其中以GlobeImposter、Crysis爲代表,感染用戶數量最多,破壞性最強。由此可知,很多時候,黑客入侵併不需要高超的技術能力,他們僅僅通過弱密碼這個入口突破就可以拿下整個企業整個信息基礎設施。因此,組織應該特別注意弱密碼問題。
注意
組織應該教育員工,在任何環境任何系統中都不能使用弱密碼,包括測試機器、測試賬號等,因爲:
(1)這些環境和系統中也可能存儲了極其重要的數據,例如源代碼、測試庫數據和表結構等;
(2)這些環境和系統中的弱密碼設置可能會通過發佈系統等將風險傳遞到其他重要服務器上,例如生產服務器。此時,風險將被放大且不容易被自我發現。
明令禁止使用破解版軟件
破解版軟件也成爲衆多木馬和病毒的載體,而安裝了這些載有惡意代碼的破解版軟件後,可能會直接突破網絡邊界上的安全控制,直接影響服務器和數據的安全。對於服務器管理和操作軟件來說,使用破解版的風險尤其嚴重。例如,360終端安全實驗室在2018年11月20日發佈的《警惕!Oracle數據庫勒索病毒RushQL死灰復燃》中指出,RushQL數據庫勒索病毒的大規模爆發,正是由於很多數據庫管理員下載使用了破解版Oracle PL/SQL而導致Oracle數據庫被鎖定。同樣,在2012年1月份爆發的“漢化版”PuTTY、WinSCP、SSHSecure工具內置黑客後門導致3萬多臺服務器系統用戶名和密碼被傳送到黑客服務器上的事件 ,也再次說明了在組織內禁止使用所謂“漢化版”“破解版”軟件的重要性和緊迫性。
組建合理的安全組織結構
在中大型互聯網公司中,一般會有首席安全官(Chief Security Officer,CSO)直接負責公司的整體安全事宜。在這種組織架構中,安全事項由較高職位的管理層直接負責,對於推動安全策略的制定和實施是強有力的保障。
在小型互聯網公司中,服務器安全一般由運維總監兼管,這種情況下,安全制度的推行一般都會受到一些挑戰,這些挑戰來自於研發和測試、業務等干係人。
解決這些挑戰的方式是:
-
通過公司管理層,對運維總監進行書面授權,確認其承擔安全建設的責任並授予其制定安全制度和在全公司實施的權力;同時要求各類干係人予以積極配合。
-
運維總監可以通過正式和非正式的溝通和干係人就安全目標達成一致,然後逐步實施安全策略。