要保障信息安全和系统安全,除了有必要技术手段的支持以外,还要考虑组织和管理的因素,也就是人和流程与制度的因素。
加强安全意识培训
在造成信息泄露的事件中,有一定比例是由组织内部人员的安全意识缺失导致的。例如,据澎湃新闻报道,“江西省景德镇市政府信息公开网 曾于 2017 年 10 月 31 日发布了《第二批大学生一次性创业补贴公示》(信息索取号:H00140-0403-2017-0077),公示单位为景德镇市劳动就业服务管理局,责任部门为景德镇市人力资源和社会保障局。其中,可供公众下载的文件公布了学生姓名、完整身份证号以及联系电话等。”应对这种问题的方式是对全员进行信息安全意识培训,使所有人都参与到信息安全建设中,提高防御信息泄露的能力。而覃某胜利用其在某大型银行内部任职技术岗位职务便利在总行服务器植病毒获利的案例则暴露了组织在安全管理和流程上的漏洞。
在高级持续性威胁(Advanced Persistent Threat,APT)中,通过社会工程方式发送钓鱼邮件是黑客组织最常用的攻击手段。这种以钓鱼邮件为载体的攻击,又被称为“鱼叉攻击”(Spear phishing)。随着社会工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到高级持续性威胁攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社会工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用高级持续性威胁手法进行攻击的源头。例如,臭名昭著的高级持续性威胁组织 OceanLotus(海莲花)在近 60%的攻击中都是将木马程序作为电子邮件的附件发送给特定的攻击目标,并诱使目标打开附件。
一个典型的钓鱼邮件攻击的流程如图 1-6 所示:
图 1-6 典型的钓鱼邮件攻击的流程
被截获的部分钓鱼邮件附件如下图所示:
图 1-7 部分钓鱼邮件附件
如图 1-6 所示,在一个典型的钓鱼邮件攻击中,黑客可以通过一封看似正常但却极具伪装性和迷惑性标题和附件(如图 1-7 所示)的邮件就可以让用户个人电脑或者服务器失陷。因此,我们要持续教育和告诫员工,不得打开未知来源和与工作无关的邮件,特别是不要被具有诱惑性标题的邮件所迷惑。另外,在发现钓鱼邮件时,要及时通知安全管理员介入调查。
特别注意弱密码问题
根据笔者在应急大量安全事件中得到的经验,弱密码问题是导致众多安全事件的罪魁祸首。同样,在 360 发布的《2018上半年勒索病毒趋势分析》中也指出,从 2016 年下半年开始,随着 Crysis/XTBL 的出现,通过 RDP 弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了 2018 年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以 GlobeImposter、Crysis 为代表,感染用户数量最多,破坏性最强。由此可知,很多时候,黑客入侵并不需要高超的技术能力,他们仅仅通过弱密码这个入口突破就可以拿下整个企业整个信息基础设施。因此,组织应该特别注意弱密码问题。
注意
组织应该教育员工,在任何环境任何系统中都不能使用弱密码,包括测试机器、测试账号等,因为:
(1)这些环境和系统中也可能存储了极其重要的数据,例如源代码、测试库数据和表结构等;
(2)这些环境和系统中的弱密码设置可能会通过发布系统等将风险传递到其他重要服务器上,例如生产服务器。此时,风险将被放大且不容易被自我发现。
明令禁止使用破解版软件
破解版软件也成为众多木马和病毒的载体,而安装了这些载有恶意代码的破解版软件后,可能会直接突破网络边界上的安全控制,直接影响服务器和数据的安全。对于服务器管理和操作软件来说,使用破解版的风险尤其严重。例如,360 终端安全实验室在 2018 年 11 月 20 日发布的《警惕!Oracle数据库勒索病毒RushQL死灰复燃》中指出,RushQL 数据库勒索病毒的大规模爆发,正是由于很多数据库管理员下载使用了破解版 Oracle PL/SQL 而导致 Oracle 数据库被锁定。同样,在 2012 年 1 月份爆发的“汉化版”PuTTY、WinSCP、SSHSecure 工具内置黑客后门导致 3 万多台服务器系统用户名和密码被传送到黑客服务器上的事件 ,也再次说明了在组织内禁止使用所谓“汉化版”“破解版”软件的重要性和紧迫性。
组建合理的安全组织结构
在中大型互联网公司中,一般会有首席安全官(Chief Security Officer,CSO)直接负责公司的整体安全事宜。在这种组织架构中,安全事项由较高职位的管理层直接负责,对于推动安全策略的制定和实施是强有力的保障。
在小型互联网公司中,服务器安全一般由运维总监兼管,这种情况下,安全制度的推行一般都会受到一些挑战,这些挑战来自于研发和测试、业务等干系人。
解决这些挑战的方式是:
通过公司管理层,对运维总监进行书面授权,确认其承担安全建设的责任并授予其制定安全制度和在全公司实施的权力;同时要求各类干系人予以积极配合。
运维总监可以通过正式和非正式的沟通和干系人就安全目标达成一致,然后逐步实施安全策略。
本文内容来自作者图书作品《Linux 系统安全:纵深防御、安全扫描与入侵检测》,点击购买。
评论