知名黑客组织发起攻击、重要系统曝出漏洞,诸如此类的安全新闻不断见诸报端,这让我们很容易认为,威胁都主要来自企业外部。但是现实却很残酷:超过一半的攻击都是源自内部人员蓄意或无意的行为。
2016年11月,绵阳警方破获了一起重大侵犯公民个人信息案件:包括银行管理层在内的15名犯罪分子,大肆出售公民的银行个人信息,涉案资金达230万元;其源头为辽宁某市中信银行工作人员,利用查询账号登录银行内网,在短时间内大肆获取公民个人征信报告50余万份,并进行出售获利。无独有偶,2017年3月,央视报道,某电商巨头发生严重数据泄露事件,涉及近50亿条公民信息。经调查,此事件是由于网络安全部前试用期员工监守自盗,为黑客提供重要信息。
此外,外部攻击人员还会通过各种钓鱼或者社工方式,盗取企业内部的合法身份,从而可以得以完全访问高端敏感的数据。
安全专家指出,由于访问者的盗窃和疏忽大意,导致政企的业务中断、数据泄露,甚至财务损失的安全问题,已经成为政企面临的重大隐患。这些被统称为“业务安全”的问题已成为安全专家与用户关注的热点。
“灯下黑”致业务安全事件频发
长期以来,由于政企用户主要关注防护外部人员的入侵,重视“边界”防护,对内部业务系统的安全防护往往比较忽视。
另外,由于业务系统的开发多由业务人员主导,对安全问题不够重视,对于业务系统的管理,有制度文档,但很少落实到技术手段,只能靠应用自身的认证、权限系统,以及本地日志。
因此,对于政企内部的不同业务体系,管理人员往往缺乏所需的信息,无法查看内部人员是否滥用了访问权限——几乎不可能知道他们是否访问了特别敏感的数据,或者对这些数据做了什么手脚。对这些合法访问权限的“异常”操作,无法及时发现与制止,这就在安全监控方面留下巨大的盲点。
这种灯下黑现象给全球政企机构带来巨大的安全隐患: 前文提到的绵阳警方破获的中信银行工作人员大量窃取储户个人信息;2015年,中航信员工利用系统账号非法获取和出售山东航空公司旅客信息;以及美国中央情报局(CIA)大量机密文件通过承包商被外泄,规模远超当年斯诺登泄露的情报。继2013年斯诺登事件之后,美国安全部门再次出现因内部人员造成的泄密事件。这些事件均系内部人员合法访问导致的安全事件。
业务安全专家、360企业安全集团副总裁梁志勇表示,在与用户交流时,很多用户表示对业务安全的重视程度日益增加。甚至有用户还专门成立了信息应用安全监管中心,负责业务系统使用的规范。“业务敏感信息的泄露会造成较坏的社会影响。”
梁志勇认为,对于政企用户来说,维护业务安全,要特别注意防范特权用户、供应商,以及普通员工三类人的“异常”行为。
从IT到业务 安全热点的变化
针对大量数据泄露事件发生在“内网”、由内部人所为的现象,梁志勇建议政企用户将关注重点从IT系统转移到业务应用上。
事实上,在作为安全行业风向标的RSA大会上,从“IT”驱动的安全转向“业务”驱动的安全已被视为成为行业趋势。在整个社会都在经历数字化转型之际,安全成为企业业务数字转型的关键。安全不再被视为技术问题,而是业务与风险问题。
梁志勇建议政企用户将关注重点从IT系统转移到业务应用
中国计算机学会安全专业委员会主任严明对此趋势表示认同,他说:“随着企业数字化的转变,安全问题与业务关联越来越紧密,企业安全问题的社会影响将益发显著。
梁志勇介绍认为,关注业务安全有助于为管理人员提供至关重要的信息,以便深入了解用户的行为:用户是不是一再访问特定数据?持续了多久?他们对这些数据做什么手脚?这是不是符合正常行为?
据梁志勇介绍,360企业安全将会在近期发布针对业务安全的解决方案,可以一站式管理内部的所有业务系统,修补应用系统开发过程中忽视的安全问题,确保等保及各类规章制度得到有效遵循;此外,还能及时发现和制止各类“高危”、“异常”的操作行为,防范数据泄露等可能的风险。
原文发布时间为:2017年4月19日