防止最安全的系统成为致命弱点

2017-09-06 14:39:22 首席安全官 首席安全官

放眼全球各地,规模最大的银行、保险公司、电信公司及其他私营企业将大部分最关键、最敏感的客户数据和知识产权存储在大型机上。原因很简单:大型机仍然是现今最安全的系统。

这就是为什么各种数据存储在大型机上。信用卡资料、医疗保健记录、身份证号码和保险单详细信息等等,让企业放一百个心:它们的私密信息和商业机密妥善保护起来,不会被外界窥视。

然而,拥有一套稳若磐石、高度安全的系统,并不代表不会受到网络安全威胁。比如说,如果不怀好意的雇员决定滥用权限来访问大型机系统及数据以牟取私利,那会发生什么?几年前就发生过这种事,当时瑞银集团(UBS)的交易员Kweku Adoboli从事未经授权的交易,结果让雇主蒙受了23亿美元(19亿英镑)的巨额损失。再举个近点的案例,去年英国软件公司Sage的一名雇员因涉嫌诈骗罪被捕,起因是使用内部登录登录的未授权访问影响了多达300个商业客户。

 

巨大的盲点

内部威胁到底有多严重?由于涉及的是受信任的雇员,这种活动很难被发觉,所以这个问题的实际严重性仍然基本上不得而知,不过这个问题越来越受到关注。Crowd Research Partners的一项研究显示,四分之三(74%)的公司觉得容易受到内部威胁,只有不到一半(42%)的公司确信自己部署了合适的控制机制来识别内部威胁。

尽管大多数敏感、最宝贵的数据存储在大型机上,但是发觉内部威胁面临的挑战主要在于这个事实:许多安全团队仍然只依赖用大型机日志和系统管理工具(SMF)数据编制的审查报告。

这种做法具有追溯性,所以只有在破坏已造成后,才会注意到事件;也就是说,许多公司在马已脱缰跑掉后才试图关上马厩的门。它也无法提供有效发现恶意行为所需要的细粒度级别。

如果公司只能在系统层面跟踪活动,无法获得查看内部人员是否滥用了访问权限所需要的信息。正因为如此,几乎不可能知道他们是否访问了特别敏感的数据,或者他们对这些数据做了什么手脚。这就有可能在安全监控方面留下巨大的盲点。

这种缺乏清晰度的弊端还会带来大量的误报,明明不是潜在威胁,系统却误以为是潜在威胁,因而阻碍了安全人员调查果真需要解决的真正问题。

 

内部的外部人员

恶意外部人员的活动进一步加剧了这些问题,外部人员发现:只要诱骗特权用户交出登录信息,自己就能获得进入数据王国的钥匙:完全访问高度敏感的数据。鱼叉式网络钓鱼手法已成为这么做的一种日益娴熟的花招。

通常情况下,他们要事先做大量的研究和侦察工作,常常使用LinkedIn和其他公开的个人信息。有了这些信息,黑客锁定某家企业组织的某个或某些成员,精心设计,做到尽可能逼真。攻击手段可能是含有恶意软件的电子邮件、旨在窃取登录信息的简单的网络钓鱼链接,或者是通过电话实施的更有针对性的方式。不过最终结果一样:一旦获得了这些登录信息,外部人员就成了内部人员。

 

深入了解大型机

不管那些威胁是怎么来的,与发现内部滥用有关的经济损失可能来自清理和补救、法律费用、股价下跌、客户流失和监管部门处罚。欧洲《通用数据保护条例》(GDPR)在2018年5月出台后,监管部门处罚可能很快会成为一个更大的问题。按照新条例,如果一家企业组织的欧洲公民数据泄密,又被发现未采取足够的措施来确保数据安全,罚款可能高达全球年营业额的4%。这应该足以引起任何董事会的关注,开始更加重视内部威胁的风险。

为了解决这个风险,关注的重点需要从系统级日志转移到大型机上的应用程序级活动监控。这将有助于为公司提供至关重要的洞察力,获得的信息转给馈入到安全信息和事件管理(SIEM)系统,以便深入了解用户行为。它有助于回答诸如此类的问题:用户是不是一再访问特定数据?持续了多久?他们对这些数据做什么手脚?这是不是符合正常行为?

 

清除藏匿的石头

我们的其中一个客户使用这种方法来识别一个可能难堪的内部威胁,当时他们发现有个人一再非法访问与某张信用卡有关的信息。调查后发现,信用卡属于皇室成员和政界人士。这个人将信用卡使用所在地的地理位置信息透露给了狗仔队,让狗仔队得以更精准地跟踪对象。

系统级日志和报告提供不了发觉任何不法行为所需要的那种细粒度级别,因为雇员有权访问信用卡信息。然而,通过获取应用程序层详细信息,并馈入到SIEM工具,客户及时发现了异常行为模式,关键就在于获得异常行为模式,这种模式表明出现了一些异常情况,有必要进行调查。

现在可以采取众多的措施,有助于防止恶意第三方入侵。但是如果他们果真进入了内部,会发生什么?如果那个恶意攻击者已经在里面,又受雇于企业本身,会发生什么?应用程序层审计,结合SIEM系统及其他安全流程,最终有助于揭示这个问题。

由于现在数据泄露事件的平均成本达到约400万美元(约合320万美元),企业绝不能在实施这种措施方面落在后头。风险实在太高了,不可忽视任何潜在的安全盲点。


想下载《漏洞安全管理》电子书? 转发本微信,截屏发送我们,并回复“漏洞管理”,即可下载。


—推荐给朋友

如果感觉内容有点价值,请顺手转发下吧

公众微信名:首席安全官 或 CSOWorld

长按二维码,扫描关注属于CSO的社区

欢迎企业CSO投稿。

  安全企业市场与媒体群 

欢迎安全厂商从业者、安全媒体人八卦交流,加微信: CSOChina 自我介绍。

  安全主管交流群  

欢迎行业与安全主管交流 (暂不接受厂商)

微信:  CSOChina 自我介绍。