【IDC.NET.com原创稿件】近日,一场曲折离奇的“删库跑路”事件,为互联网行业敲响了警钟。2月23日晚,微盟研发中心运维部核心运维人员竟然通过个人科学进入公司内网跳板机,直接导致集团大面积服务器集群无法响应,生产环境及数据遭受严重破坏,集团市值一天蒸发超10亿。虽然微盟数据已经全面找回,但是“删库”事件带来的影响还在持续。
关于微盟“删库”事件的反思:企业需主动度量安全态势抵御内外部风险
事发后,微盟深刻地反思和检讨了自身问题,承认公司在数据安全管理和运维人员权限管理上存在明显不足,对于安全监控体系的执行不够到位等等。
其实,受当前疫情影响,不是只有微盟启用了远程办公模式,不是只有那位员工可以通过个人科学进入自家公司内网,更不是只有微盟面临安全风险。当前,有千千万万家企业的员工在线远程办公,其中很多企业因此产生运营变更行为,比如:计算资源扩容、新应用系统上线、新业务迁移和安全工具配置调整等,面临着包含“删库”在内的各种内外部安全风险。
因此,企业们是时候问问自己:当你的员工通过科学接入企业内部网络时,办公环境是否划分了逻辑隔离的远程接入安全域?你的安全设备是否对远程接入员工的访问权限进行了限制?是否存在错误配置,存在被外部黑客或内部别有用心的员工所利用……
如果答案是否定的,如果你不想成为下一个微盟,那么事不宜迟,赶紧对企业安全态势状况进行有效评估吧。你应该尽快全面检测可能面临的内外部风险,识别真正的安全风险,然后选择相应的安全手段来应对,以强化防御能力。
一个值得你考虑的主动度量安全态势解决方案
然而在疫情这种特殊时期,对于很多企业来说,受人力和技术的影响,可能无法做到立马就研究出一套可以摸清自身安全态势的解决方案。此时,选择第三方安全技术来做支持,不可谓是个好方法,毕竟安全风险不等人,它就在身边虎视眈眈地盯着你。所以,这类企业不妨选择通过第三方助力,对自身安全情况进行全面检测评估,快速实现对自身安全态势的度量。
这里给大家分享一个比较典型的主动度量安全态势解决方案——是德科技入侵与攻击模拟(BAS)解决方案。先不讲方案的具体框架,我们来看看它是如何工作的。
[[317868]]
类似微盟遭遇的这种内部威胁,BAS解决方案可以模拟员工通过科学进入企业内网,并尝试横向扩展至服务器,然后尝试操作重要数据,如果可以访问到服务器并尝试操作,则会认为存在安全风险,并提供修复建议,比如打开防火墙策略限制用户访问范围,阻止其直接访问数据库。
不仅如此,应对APT攻击这种复杂的高级威胁,BAS解决方案也不在话下。首先BAS会通过自动化方式模拟攻击链的完整过程,通过观察攻击后会发生什么,来判断企业可能存在的内外部风险。一个完整的攻击链包括:钓鱼式攻击、用户行为、恶意软件传输、感染、命令与控制、横向移动以及数据窃取等多个环节。
由于每个环节的攻击模拟与风险评估大致相同,我们仅以钓鱼攻击环节为例来看看 BAS解决方案是怎么做的。黑客利用钓鱼攻击,目的是诱导受害者点击定向到恶意网站或攻击载荷的恶意链接。BAS假设一定会有人打开邮件并模拟点击链接的行为,以此为前提,看看后续的防护行为。BAS在模拟过程中会观察是否有安全控制被触发,不管是入侵防护系统、反钓鱼邮件系统还是防火墙,如果安全控制没有被触发,则可确定有风险存在。
随后,BAS会提供关于安全态势的度量值,通过不同环节特定的度量值,BAS会给出修复建议,反馈哪个安全工具需要开启哪些安全防护功能,以优化工具并强化网络防御。同时,由于模拟的是攻击者整个攻击链条,包括侦查到数据窃取,所以安全人员的风险修复工作变得更容易。
综上所述,BAS解决方案能够帮助企业持续度量安全态势,在不增加安全支出的情况下,降低内外部风险,同时找到当前安全防护范围内,现有产品无法阻挡的攻击。其架构如下图所示,它是一个基于云的平台,通过SaaS方式供企业用户使用。遵循检测评估、风险识别、建议与优化三大步骤,它可以帮助企业度量在数据中心、公有云、私有云和混合网络上的安全态势状况。
是德科技BAS解决方案架构图
该解决方案主要包括三大核心组件:基于WEB的友好页面、“暗云”实体、在企业内网部署的轻量级代理。其中,“暗云”实体是根据需要模拟不同威胁角色,比如:恶意网站、外部黑客、C&C服务器等。而在企业内网部署的代理以Docker容器的形式运行,作为网络内部“目标”或“攻击者”的模拟,从而实现从内到外、从外到内以及内部横向移动的攻击场景。
此外,为了帮助用户抵御新风险,是德科技应用和威胁情报研究团队的研究成果会定期更新到BAS解决方案中,确保可以模拟新的黑客入侵手段和漏洞攻击。
后记
此次微盟因“人祸”而引发的“删库”事件,值得各行业的企业深思,尤其是疫情特殊时期的当下,企业更应该洞悉内外部安全风险,可以采用一种自动化的方法来持续度量安全态势状况,高效及时地知晓风险何时发生,有何变化,以提出有效建议来解决风险。
【IDC.NET原创稿件,合作站点转载请注明原文作者和出处为IDC.NET.com】
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/141566.html<
