【51CTO.com原创稿件】近日,一场曲折离奇的“删库跑路”事件,为互联网行业敲响了警钟。2月23日晚,微盟研发中心运维部核心运维人员竟然通过个人VPN进入公司内网跳板机,直接导致集团大面积服务器集群无法响应,生产环境及数据遭受严重破坏,集团市值一天蒸发超10亿。虽然微盟数据已经全面找回,但是“删库”事件带来的影响还在持续。
关于微盟“删库”事件的反思:企业需主动度量安全态势抵御内外部风险
事发后,微盟深刻地反思和检讨了自身问题,承认公司在数据安全管理和运维人员权限管理上存在明显不足,对于安全监控体系的执行不够到位等等。
其实,受当前疫情影响,不是只有微盟启用了远程办公模式,不是只有那位员工可以通过个人VPN进入自家公司内网,更不是只有微盟面临安全风险。当前,有千千万万家企业的员工在线远程办公,其中很多企业因此产生运营变更行为,比如:计算资源扩容、新应用系统上线、新业务迁移和安全工具配置调整等,面临着包含“删库”在内的各种内外部安全风险。
因此,企业们是时候问问自己:当你的员工通过VPN接入企业内部网络时,办公环境是否划分了逻辑隔离的远程接入安全域?你的安全设备是否对远程接入员工的访问权限进行了限制?是否存在错误配置,存在被外部黑客或内部别有用心的员工所利用……
如果答案是否定的,如果你不想成为下一个微盟,那么事不宜迟,赶紧对企业安全态势状况进行有效评估吧。你应该尽快全面检测可能面临的内外部风险,识别真正的安全风险,然后选择相应的安全手段来应对,以强化防御能力。
一个值得你考虑的主动度量安全态势解决方案
然而在疫情这种特殊时期,对于很多企业来说,受人力和技术的影响,可能无法做到立马就研究出一套可以摸清自身安全态势的解决方案。此时,选择第三方安全技术来做支持,不可谓是个好方法,毕竟安全风险不等人,它就在身边虎视眈眈地盯着你。所以,这类企业不妨选择通过第三方助力,对自身安全情况进行全面检测评估,快速实现对自身安全态势的度量。
这里给大家分享一个比较典型的主动度量安全态势解决方案——是德科技入侵与攻击模拟(BAS)解决方案。先不讲方案的具体框架,我们来看看它是如何工作的。
类似微盟遭遇的这种内部威胁,BAS解决方案可以模拟员工通过VPN进入企业内网,并尝试横向扩展至服务器,然后尝试操作重要数据,如果可以访问到服务器并尝试操作,则会认为存在安全风险,并提供修复建议,比如打开防火墙策略限制用户访问范围,阻止其直接访问数据库。
不仅如此,应对APT攻击这种复杂的高级威胁,BAS解决方案也不在话下。首先BAS会通过自动化方式模拟攻击链的完整过程,通过观察攻击后会发生什么,来判断企业可能存在的内外部风险。一个完整的攻击链包括:钓鱼式攻击、用户行为、恶意软件传输、感染、命令与控制、横向移动以及数据窃取等多个环节。
由于每个环节的攻击模拟与风险评估大致相同,我们仅以钓鱼攻击环节为例来看看 BAS解决方案是怎么做的。黑客利用钓鱼攻击,目的是诱导受害者点击定向到恶意网站或攻击载荷的恶意链接。BAS假设一定会有人打开邮件并模拟点击链接的行为,以此为前提,看看后续的防护行为。BAS在模拟过程中会观察是否有安全控制被触发,不管是入侵防护系统、反钓鱼邮件系统还是防火墙,如果安全控制没有被触发,则可确定有风险存在。
随后,BAS会提供关于安全态势的度量值,通过不同环节特定的度量值,BAS会给出修复建议,反馈哪个安全工具需要开启哪些安全防护功能,以优化工具并强化网络防御。同时,由于模拟的是攻击者整个攻击链条,包括侦查到数据窃取,所以安全人员的风险修复工作变得更容易。
综上所述,BAS解决方案能够帮助企业持续度量安全态势,在不增加安全支出的情况下,降低内外部风险,同时找到当前安全防护范围内,现有产品无法阻挡的攻击。其架构如下图所示,它是一个基于云的平台,通过SaaS方式供企业用户使用。遵循检测评估、风险识别、建议与优化三大步骤,它可以帮助企业度量在数据中心、公有云、私有云和混合网络上的安全态势状况。
是德科技BAS解决方案架构图
该解决方案主要包括三大核心组件:基于WEB的友好页面、“暗云”实体、在企业内网部署的轻量级代理。其中,“暗云”实体是根据需要模拟不同威胁角色,比如:恶意网站、外部黑客、C&C服务器等。而在企业内网部署的代理以Docker容器的形式运行,作为网络内部“目标”或“攻击者”的模拟,从而实现从内到外、从外到内以及内部横向移动的攻击场景。
此外,为了帮助用户抵御新风险,是德科技应用和威胁情报研究团队的研究成果会定期更新到BAS解决方案中,确保可以模拟新的黑客入侵手段和漏洞攻击。
后记
此次微盟因“人祸”而引发的“删库”事件,值得各行业的企业深思,尤其是疫情特殊时期的当下,企业更应该洞悉内外部安全风险,可以采用一种自动化的方法来持续度量安全态势状况,高效及时地知晓风险何时发生,有何变化,以提出有效建议来解决风险。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】