行業(yè)動(dòng)態(tài)

燈下黑:業(yè)務(wù)安全成政企行業(yè)重大隱患

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-04-20    瀏覽次數(shù):
 

信息來(lái)源:比特網(wǎng)

知名黑客組織發(fā)起攻擊、重要系統(tǒng)曝出漏洞,諸如此類的新聞不斷見諸報(bào)端,這讓我們很容易認(rèn)為,威脅都主要來(lái)自企業(yè)外部。但是現(xiàn)實(shí)卻很殘酷:超過一半的攻擊都是源自內(nèi)部人員蓄意或無(wú)意的行為。

2016年11月,綿陽(yáng)警方破獲了一起重大侵犯公民個(gè)人案件:包括銀行管理層在內(nèi)的15名犯罪分子,大肆出售公民的銀行個(gè)人信息,涉案資金達(dá)230萬(wàn)元;其源頭為遼寧某市中信銀行工作人員,利用查詢賬號(hào)登錄銀行內(nèi)網(wǎng),在短時(shí)間內(nèi)大肆獲取公民個(gè)人征信報(bào)告50余萬(wàn)份,并進(jìn)行出售獲利。無(wú)獨(dú)有偶,2017年3月,央視報(bào)道,某電商巨頭發(fā)生嚴(yán)重泄露事件,涉及近50億條公民信息。經(jīng)調(diào)查,此事件是由于安全部前試用期員工監(jiān)守自盜,為黑客提供重要信息。

此外,外部攻擊人員還會(huì)通過各種釣魚或者社工方式,盜取企業(yè)內(nèi)部的合法身份,從而可以得以完全訪問高端敏感的數(shù)據(jù)。

安全專家指出,由于訪問者的盜竊和疏忽大意,導(dǎo)致政企的業(yè)務(wù)中斷、數(shù)據(jù)泄露,甚至財(cái)務(wù)損失的安全問題,已經(jīng)成為政企面臨的重大隱患。這些被統(tǒng)稱為“業(yè)務(wù)安全”的問題已成為安全專家與用戶關(guān)注的熱點(diǎn)。

“燈下黑”致業(yè)務(wù)安全事件頻發(fā)

長(zhǎng)期以來(lái),由于政企用戶主要關(guān)注防護(hù)外部人員的入侵,重視“邊界”防護(hù),對(duì)內(nèi)部業(yè)務(wù)系統(tǒng)的安全防護(hù)往往比較忽視。

另外,由于業(yè)務(wù)系統(tǒng)的開發(fā)多由業(yè)務(wù)人員主導(dǎo),對(duì)安全問題不夠重視,對(duì)于業(yè)務(wù)系統(tǒng)的管理,有制度文檔,但很少落實(shí)到技術(shù)手段,只能靠應(yīng)用自身的認(rèn)證、權(quán)限系統(tǒng),以及本地日志。

因此,對(duì)于政企內(nèi)部的不同業(yè)務(wù)體系,管理人員往往缺乏所需的信息,無(wú)法查看內(nèi)部人員是否濫用了訪問權(quán)限——幾乎不可能知道他們是否訪問了特別敏感的數(shù)據(jù),或者對(duì)這些數(shù)據(jù)做了什么手腳。對(duì)這些合法訪問權(quán)限的“異常”操作,無(wú)法及時(shí)發(fā)現(xiàn)與制止,這就在安全監(jiān)控方面留下巨大的盲點(diǎn)。

這種燈下黑現(xiàn)象給全球政企機(jī)構(gòu)帶來(lái)巨大的安全隱患: 前文提到的綿陽(yáng)警方破獲的中信銀行工作人員大量竊取儲(chǔ)戶個(gè)人信息;2015年,中航信員工利用系統(tǒng)賬號(hào)非法獲取和出售山東航空公司旅客信息;以及美國(guó)中央情報(bào)局(CIA)大量機(jī)密文件通過承包商被外泄,規(guī)模遠(yuǎn)超當(dāng)年斯諾登泄露的情報(bào)。繼2013年斯諾登事件之后,美國(guó)安全部門再次出現(xiàn)因內(nèi)部人員造成的泄密事件。這些事件均系內(nèi)部人員合法訪問導(dǎo)致的安全事件。

業(yè)務(wù)安全專家、360企業(yè)安全集團(tuán)副總裁梁志勇表示,在與用戶交流時(shí),很多用戶表示對(duì)業(yè)務(wù)安全的重視程度日益增加。甚至有用戶還專門成立了信息應(yīng)用安全監(jiān)管中心,負(fù)責(zé)業(yè)務(wù)系統(tǒng)使用的規(guī)范?!皹I(yè)務(wù)敏感信息的泄露會(huì)造成較壞的社會(huì)影響。”

梁志勇認(rèn)為,對(duì)于政企用戶來(lái)說(shuō),維護(hù)業(yè)務(wù)安全,要特別注意防范特權(quán)用戶、供應(yīng)商,以及普通員工三類人的“異?!毙袨?。

從IT到業(yè)務(wù) 安全熱點(diǎn)的變化

針對(duì)大量數(shù)據(jù)泄露事件發(fā)生在“內(nèi)網(wǎng)”、由內(nèi)部人所為的現(xiàn)象,梁志勇建議政企用戶將關(guān)注重點(diǎn)從IT系統(tǒng)轉(zhuǎn)移到業(yè)務(wù)應(yīng)用上。

事實(shí)上,在作為安全行業(yè)風(fēng)向標(biāo)的RSA大會(huì)上,從“IT”驅(qū)動(dòng)的安全轉(zhuǎn)向“業(yè)務(wù)”驅(qū)動(dòng)的安全已被視為成為行業(yè)趨勢(shì)。在整個(gè)社會(huì)都在經(jīng)歷數(shù)字化轉(zhuǎn)型之際,安全成為企業(yè)業(yè)務(wù)數(shù)字轉(zhuǎn)型的關(guān)鍵。安全不再被視為技術(shù)問題,而是業(yè)務(wù)與風(fēng)險(xiǎn)問題。

梁志勇建議政企用戶將關(guān)注重點(diǎn)從IT系統(tǒng)轉(zhuǎn)移到業(yè)務(wù)應(yīng)用

中國(guó)計(jì)算機(jī)學(xué)會(huì)安全專業(yè)委員會(huì)主任嚴(yán)明對(duì)此趨勢(shì)表示認(rèn)同,他說(shuō):“隨著企業(yè)數(shù)字化的轉(zhuǎn)變,安全問題與業(yè)務(wù)關(guān)聯(lián)越來(lái)越緊密,企業(yè)安全問題的社會(huì)影響將益發(fā)顯著。

梁志勇介紹認(rèn)為,關(guān)注業(yè)務(wù)安全有助于為管理人員提供至關(guān)重要的信息,以便深入了解用戶的行為:用戶是不是一再訪問特定數(shù)據(jù)?持續(xù)了多久?他們對(duì)這些數(shù)據(jù)做什么手腳?這是不是符合正常行為?

據(jù)梁志勇介紹,360企業(yè)安全將會(huì)在近期發(fā)布針對(duì)業(yè)務(wù)安全的解決方案,可以一站式管理內(nèi)部的所有業(yè)務(wù)系統(tǒng),修補(bǔ)應(yīng)用系統(tǒng)開發(fā)過程中忽視的安全問題,確保等保及各類規(guī)章制度得到有效遵循;此外,還能及時(shí)發(fā)現(xiàn)和制止各類“高?!?、“異常”的操作行為,防范數(shù)據(jù)泄露等可能的風(fēng)險(xiǎn)。

 
 

上一篇:2017年04月19日 聚銘安全速遞

下一篇:通過手機(jī)傳感器嗅探用戶輸入的密碼