普通的公司常常会忽略来自企业内部的威胁。从安全管理的角度来说,对IT和HR这类特殊人员进行策略和特权限制是非常有必要的。
花旗银行的一个案例
2013年12月23日晚6点,美国德克萨斯州欧文花旗银行一名叫Lennon Ray Brown的网络工程师因为绩效评定不佳而被责令解雇,于是他在下班后对公司展开了「报复」。
Brown他有着公司内部较高的权限,可以比任何外部黑客都更容易肆意妄为。
“晚上大约在18:03的时候,Brown故意发送了恶意代码指令到花旗银行的10个全球控制中心的路由器上,抹去了其中9个路由器的线上配置文件。这一行为,直接导致了花旗银行在北美地区约90%的网络瘫痪。
而后在约18:05的时候,Brown淡定地打了卡,然后离开了花旗银行。”
Brown很淡定地发了一条短信给同事:
“这帮老家伙把我解雇了,我怼了他们一顿。当然,我只是想让他们看看,如果持续对下面的人施压,会造成什么恶果。
如果这会让同事们受了牵连,我表示很抱歉。但我主要是为了让高管们清醒清醒。”
当然,现在Brown大概会后悔这次鲁莽的行为了——由于未授权入侵企业计算机,他被判处了21个月监禁。此外,他还需要支付77200美元的赔偿。
内部威胁防范
相信这类事件值得所有企业进行反——企业花了那么多时间精力去做好对线上安全和对外部黑客的防御,但是真的有认真考虑过来自「内鬼」的威胁么?
事实上,黑客可能不像你想象的那样,必须是你未曾谋面,黑客也许就是坐在你身边的。
那些来自内部的威胁,比如被邀请到办公室的人、连入内部网络的人,被授权访问内部系统的人,都可能对公司的业务造成巨大危害。即使他们不是做安全的IT人员,但如果你让他们走进公司大楼,他们就可能找机会放置键盘记录器,为其他黑客打开一扇门。或者在你不经意的时候,偷走你机器里面的敏感文件。
完全阻止每一个意外的内部威胁是很困难的,但是我们可以努力限制它们带来的影响,并减少恶意员工走向极端的机会。
推荐阅读
内部威胁区别于外部威胁,攻击者来自于内部用户,因此检测更加困难,危害性却更大。随着企业信息安全机制的建立建全,单纯想从外部Hack进入目标系统的攻击门槛不断提高;内部威胁逐渐增多,并且开始在各大安全报告中崭露头角,引起了国外研究者的高度重视。遗憾的是,国内此类事件曝光率极低,研究重视不够,因此缺乏行之有效的防范措施。
基于近一年的研究调研,我整理出当前内部威胁研究的相关情况,供诸位FB同仁讨论交流,以作抛砖引玉之用。
====================================分割线================================
本文转自d1net(转载)