人是安全管理中最大的安全隱患。不記得這句話從哪里看到的了。不過(guò)我們經(jīng)常會(huì)看到類(lèi)似于從一個(gè)司機(jī)郵箱滲透到企業(yè)重要系統(tǒng)的案例，越來(lái)越熱的apt攻擊也選擇人作為突破口。比如針對(duì)Google的極光攻擊就是因?yàn)橐粋€(gè)員工點(diǎn)擊了聊天消息的鏈接從而導(dǎo)致被滲透的。

所以當(dāng)防火墻配置恰當(dāng)，數(shù)據(jù)已經(jīng)加密，防病毒升級(jí)到最新，所有的措施都安排妥當(dāng)之后，不要忘記人也是一個(gè)很大的風(fēng)險(xiǎn)來(lái)源。本文會(huì)先介紹企業(yè)員工可能導(dǎo)致的安全風(fēng)險(xiǎn)以及常用的防御方法。最后會(huì)從SIEM的角度嘗試一種可能的解決方案。

風(fēng)險(xiǎn)類(lèi)型

社會(huì)工程學(xué)

這個(gè)大家都很熟悉了。釣魚(yú)，社工庫(kù)，丟優(yōu)盤(pán)，送路由之類(lèi)的。利用人性的一些特點(diǎn)來(lái)實(shí)現(xiàn)攻擊。比如某大牛曾經(jīng)說(shuō)過(guò)隨便挑一個(gè)下午去濱江阿里巴巴園區(qū)的星巴克坐著，就能黑掉網(wǎng)易。

緩解的方法通常就是進(jìn)行用戶安全意識(shí)培訓(xùn)，尤其通過(guò)一些實(shí)例，比如模擬釣魚(yú)，然后公開(kāi)釣魚(yú)的成果，這樣用戶印象會(huì)比較深刻。下次遇到類(lèi)似的情況就會(huì)考慮多一些。

用戶的密碼

首先是弱密碼，盡管可能有各種防止弱密碼的策略。但是工作中首先考慮的是更好更快的完成工作。所以弱密碼還是很常見(jiàn)的。此外還可能有很多別的途徑可能泄露了密碼，像工作中臨時(shí)提供給需要的第三方?jīng)]有及時(shí)修改等等。降低風(fēng)險(xiǎn)的方式就是實(shí)行嚴(yán)格的密碼設(shè)置策略。不過(guò)包含數(shù)字字母符號(hào)的密碼可能依然是字典里存在的弱密碼。

用戶資產(chǎn)存在漏洞

大公司可能會(huì)對(duì)所有的辦公電腦統(tǒng)一管理，按時(shí)升級(jí)各種補(bǔ)丁。但是現(xiàn)在有越來(lái)越多的設(shè)備類(lèi)型，筆記本，手機(jī)，平板等都可能在工作中用到。而這些設(shè)備是否存在漏洞，是否安裝補(bǔ)丁是用戶自己負(fù)責(zé)的。辦公電腦上用戶自己安裝的第三方軟件，比如瀏覽器等等可能也沒(méi)有統(tǒng)一的補(bǔ)丁升級(jí)策略。降低風(fēng)險(xiǎn)的方法可以通過(guò)定期的漏洞掃描來(lái)降低風(fēng)險(xiǎn)。

使用各種云服務(wù)

云服務(wù)的應(yīng)用越來(lái)越廣泛，就拿網(wǎng)盤(pán)來(lái)說(shuō)，大家都在用。假如把公司的資料放在網(wǎng)盤(pán)上是否存在風(fēng)險(xiǎn)呢。如果一些大的網(wǎng)盤(pán)提供商被入侵或是數(shù)據(jù)泄露，那么后果是不堪設(shè)想的。其實(shí)敏感資料放在第三方之后，就已經(jīng)不是自己可控的了。降低風(fēng)險(xiǎn)的方法可以培訓(xùn)用戶安全意識(shí)，盡量選擇靠譜的大公司的服務(wù)，一些非常重要的資料不要放到第三方那里。

移動(dòng)設(shè)備

移動(dòng)互聯(lián)網(wǎng)今天已經(jīng)如此火爆了。手機(jī)中通常也會(huì)有工作的資料，比如手機(jī)登陸了工作郵箱，手機(jī)聯(lián)系人，甚至郵箱密碼等。不僅僅是丟手機(jī)，把手機(jī)借給別人會(huì)導(dǎo)致信息泄露?，F(xiàn)在手機(jī)更新?lián)Q代都很快，據(jù)調(diào)查eBay上賣(mài)的二手手機(jī)，依然保存有私人數(shù)據(jù)的比例超過(guò)50%?？紤]到數(shù)據(jù)恢復(fù)技術(shù)，這種風(fēng)險(xiǎn)可能更大。不知道taobao上的這個(gè)比例能有多少。前面提到過(guò)，手機(jī)其實(shí)很少有定期打補(bǔ)丁。所以惡意APP導(dǎo)致信息泄露的風(fēng)險(xiǎn)也很高。因?yàn)檫@個(gè)是用戶自己控制的設(shè)備。所以我能想到的降低風(fēng)險(xiǎn)方法可能就是所謂的制定安全策略，進(jìn)行安全意識(shí)培訓(xùn)。

解決方案的探討

從SIEM的角度來(lái)說(shuō)可以進(jìn)行用戶活動(dòng)監(jiān)控，管控風(fēng)險(xiǎn)。SIEM簡(jiǎn)單來(lái)說(shuō)就是收集環(huán)境內(nèi)的各種設(shè)備和應(yīng)用的安全事件，進(jìn)行統(tǒng)一解析和關(guān)聯(lián)分析從而進(jìn)行風(fēng)險(xiǎn)管理和告警的產(chǎn)品。

用戶活動(dòng)監(jiān)控的概念其實(shí)我們都很常用。就是QQ賬號(hào)異地登陸會(huì)有風(fēng)險(xiǎn)提示或者高危操作會(huì)鎖定賬號(hào)。把這個(gè)概念擴(kuò)展到用戶登陸公司郵箱，登陸服務(wù)器等等賬號(hào)的活動(dòng)。下面通過(guò)兩個(gè)場(chǎng)景看一下這個(gè)解決方案的思想。

場(chǎng)景一：社工郵箱密碼

攻擊者先用awvs掃描公司主頁(yè)，一番嘗試沒(méi)有發(fā)現(xiàn)可以利用的漏洞。然后通過(guò)whois查詢(xún)到網(wǎng)站管理員的工作郵箱。通過(guò)一些簡(jiǎn)單社工和查詢(xún)社工庫(kù)獲得了該管理員的常用密碼，很不幸的是這個(gè)常用密碼恰好也是管理員工作郵箱的密碼。所以攻擊者順利登陸了管理員的郵箱。那么這個(gè)過(guò)程中，SIEM看到的是什么過(guò)程呢。首先awvs掃描網(wǎng)站，siem獲取到這些網(wǎng)站日志之后，認(rèn)為這個(gè)來(lái)源ip在進(jìn)行嘗試攻擊的行為，會(huì)把這個(gè)ip加入一個(gè)黑名單當(dāng)中。當(dāng)攻擊者登陸郵箱的時(shí)候，這時(shí)候是從一個(gè)黑名單IP登陸了高級(jí)別的管理員郵箱(可以對(duì)不同人員的賬號(hào)進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)，就跟對(duì)資產(chǎn)進(jìn)行分級(jí)一樣)。系統(tǒng)會(huì)發(fā)出告警。甚至可以臨時(shí)禁用這個(gè)郵箱賬號(hào)。

場(chǎng)景二：控制員工筆記本獲取到敏感信息

公司員工由于在社交網(wǎng)站上點(diǎn)擊了一個(gè)鏈接導(dǎo)致個(gè)人筆記本被控制。攻擊者在筆記本上發(fā)現(xiàn)了一個(gè)公司服務(wù)器的ssh賬號(hào)。那么攻擊者在登陸服務(wù)器的時(shí)候SIEM可以做些什么呢。ssh登陸服務(wù)器，一般都是在公司內(nèi)，也就是用內(nèi)網(wǎng)地址登陸的。所以SIEM可以?xún)?nèi)置登陸ip的白名單。根據(jù)公司的工作習(xí)慣，可以設(shè)置登陸時(shí)間一般是早九點(diǎn)到晚九點(diǎn)。那么當(dāng)攻擊者登陸服務(wù)器的時(shí)候，如果沒(méi)有用員工電腦做跳板，直接登陸的話。SIEM會(huì)看到一個(gè)別的地區(qū)的ip(比如美國(guó))登陸了我們的服務(wù)器，會(huì)產(chǎn)生告警事件。如果攻擊者為了隱蔽，選擇在夜深人靜的午夜登陸服務(wù)器，那么剛好觸發(fā)了在非正常時(shí)間登陸的策略，也會(huì)產(chǎn)生告警。

由于種種原因，不恰當(dāng)?shù)牡胤竭€請(qǐng)大家多多指正。