安全以人为本:解读微盟删库事件
微盟删库事件暴露的只是企业内部威胁的“冰山一角”。
“抗疫免费”的全民远程办公SaaS营销大战尘埃尚未落定,本周曝出的微盟删库事件就给中国企业当头一记狼牙棒。截至本文发稿,根据微盟最新的通告,原有商户的生产数据的恢复要等到28日。对于在线业务完全依赖微盟平台的商户来说,“心脏停跳”5日后,生产数据能否完全恢复,目前看来还是个未知数。
对于中国企业数字化转型的决策者来说,微盟删库事件的警示意义不仅是一家知名度极高的云服务企业发生了重大数据违规行为,导致股票市值暴跌12亿港币,也不仅是因为千千万万微盟SaaS商户蒙受了无法估算的巨大经济损失,而是因为该事件暴露的“网络安全债”,在大多数企业中都普遍存在。
某央企运维总经理在接受安全牛采访时表示:
但也同时指出:该事件对安全服务来说可能意味着一个巨大的商机开启。如果能有一个体系化管控数据库操作各环节、各步骤的平台,特别是涉及到关键指令下达缓解、有操作复核确认,甚至是授权复核,未来一定会有巨大的市场空间。
坐堂问诊:如何根治“删库跑路”
对于微盟删库事件,安华金和认为根源是目前很多企业在没有充足的时间与经验支撑下,仓促“转型”线上远程办公模式,因此普遍缺乏完善的运维安全管理体系。
美创科技在接受安全牛采访时表示:作为距离企业数据最近的角色之一,运维人员正给企业数据带来了防不胜防的隐患,然而企业在数据安全建设中往往最容易忽视这一环节,存在以下几个常见问题:
1. 数据库账号密码管理缺乏严格有效的访问控制机制;
2. DBA等高权限得不到管控,易发生越权操作行为;
3. 误操作数据后无法恢复,敏感数据得不到有效保护;
4. 数据库内部操作无法审计,导致数据泄露后无法准确溯源。
对于如何预防和管理“删库”风险,派拉软件认为:对于内部威胁,企业需要技术与管理双层把控。首先在管理层面上,企业文化先行,关怀员工,关注员工身心健康,普及相关事件的危险性及犯罪性,运维管理制度要实行双权甚至三权分立,不能一人独管企业核心资产运维。
派拉软件指出,企业如果能在特权身份安全上做到以下六点,可有效防范此类事故的再次发生:
1. 持续收集并管理特权账户;
2. 多因素认证;
3. 访问控制(实时监控、限时授权运维、高危命令处理);
4. 用户行为分析(风险动态感知);
5. 实时监控运维动作并通知;
6. 全维度的审计。
齐治科技解决方案专家于遨洋认为要杜绝这类恶意操作事件,必须在运维过程中增强管控,加强对特权账号的管控、加强对访问权限的控制、加强对高危命令的复核。
从技术方面来看,美创科技认为“防删库”要从集成多因素准入控制、敏感数据资产分级分类、危险误操作审批流程、数据动态脱敏和精准审计五个方面来解决运维环节的数据安全威胁。
安恒信息网关事业群吴焱在接受安全牛采访时则表示,企业保护核心数据,避免删库惨案一再发生,就必须让运维更可控、更安全。具体工作有以下三个重点:
1. 针对重点服务器(包括核心业务、核心数据等),可以参考双人授权的”金库模式”,通过动态工单授权申请审批机制和会话实时控制等方法,确保重点服务器任何时刻不能被单个账户直接操作。
2. 针对普通服务器,做到事前权限预分配,通过细粒度的权限控制、命令管控、多重身份认证等实现事中访问控制,避免权限分配不合理导致误操作、越权操作带来的运维安全事故。
3. 运维过程需要全量审计,通过运维审计提供详细的审计日志给公安机关作为权威证据,锁定恶意操作者,避免事后无法追查具体的操作人员及操作过程。
针对“删库跑路”类事件,安华金和基于企业运维工作在数据库权限管理和审批机制上的建设经验,提出两个解决思路供安全牛读者参考:
其一,对数据库账户包括DBA高权限账户的数据库运维行为进行有效管理,做到对批量删除数据等高风险操作在事中的有效防控,让删库行为无从下手;
其二,建议制定并严格执行标准的工单审批流程,以有效规范运维操作行为;就算运维人员(DBA高权限账户)真的需要“执行批量删除”这种大动作,也必须通过申请并等待审批。
最后,某政府机关安全主管强调,预防微盟删库事件还有一个关键措施就是加强演练,企业要制定应急演练预案,模拟不同故障场景定期演练,方能保障业务的持续性。
删库只是冰山一角:2020是内部威胁保护元年
“人的因素”是今年RSAC2020网络安全大会的主题,而微盟删库事件再次强调了这一点:企业面临的最大威胁往往不是外部攻击,而是内部威胁(包括供应链风险)。
在安全牛年初发布的《2020年企业面临的20大数据风险》一文中,与内部(人员)威胁有关的就多达12条,按威胁等级排列并点评如下:
1. 员工疏忽导致数据泄露
2. IT运维管理人员过劳
3. 员工监守自盗
4. 危险的个人通讯(使用未加密的消费级通讯软件和远程办公协作平台传输敏感数据)
5. 网络钓鱼/鱼叉式钓鱼(尤其是疫情相关钓鱼活动)
6. 员工接受贿赂成为内鬼
7. 过于宽松的员工数据访问权限(特权账户权限过大且缺乏有效监管)
8. 员工买卖数据
9. 员工无聊行为(疫情的持续可加重此类行为)
10. 员工窃取数据用于个人职业发展(转投竞争对手)
11. 高管离职(又一个特权账户管理问题)
12. 脆弱的密码
可以看出,微盟删库事件的主因“特权账户管理“只是企业内部威胁的”冰山一角“,甚至排不进TOP5。根据Shred-it的一项调查研究,40%的高级管理人员表示疏忽和意外是最近一次重大信息安全事件的主因。
员工疏忽会比勒索软件、钓鱼攻击、商业间谍、黑客高级攻击更可怕?是的,例如你的一个重要员工在机场上了一个假热点,发邮件时手一滑把敏感信息cc给了陌生人,离开时又遗失了未加密的笔记本电脑。
从本质上看,无论是“疏忽”还是“反水”,内部威胁都是一个与人员、流程、策略和文化有关的综合性风险管理问题,绝不仅限于特权账户和数据安全管理。
根据Forrester去年发布的《内部威胁报告》,86%的组织已着手部署内部威胁管理项目,但除了金融服务企业和处理敏感数据的企业已经建立了较为成熟的内部人员滥用管理程序,大多数企业仍停留在政策和计划制定阶段,只有三分之一的公司认为其内部威胁管理程序已经成熟。
报告指出:
2020年,将是企业把内部威胁功能从临时措施变为可重复和可改进流程的一年。
防患于未然:内部威胁保护框架与员工心理关注
最近几年,国内外数据库误操作和删库事件频频发生:
2019年12月,由于Elasticsearch数据库技术人员的疏忽,小米生态链企业,智能家居产品制造商Wyze泄露了超过240万北美用户数据,导致Wyze在北美市场业务和品牌声誉蒙受巨大损失。
2018年8月,顺丰公司一员工接到一个变更需求,因为选错了实例,将一数据库删除。因工作不严谨导致该系统上临时车线上发车功能无法使用并持续约590分钟。事后该员工被开除。
2018年4月,VPS服务商Kuriko因机房技术人员 rm -rf /*,宿主机上所有数据丢失了。
2017年9月,某企业技术工程师帮助广西移动进行扩容割接(即增加系统容量)时,不小心将HSS设备里面的用户数据格式化删除,导致广西移动近80 万用户数据丢失。
2017年6月,Reddit网站的一位实习程序员手滑误删了网站的全部生产数据,险些将这个过去五年全球最成功的兴趣社交网站从互联网上抹掉。当Reddit准备起诉该员工时,整个硅谷的技术大咖都一致指责Reddit,认为该公司自身糟糕的安全管理才是根本原因。
2017年6月,一家荷兰海牙的云主机商verelox.com,一名前任管理员删光了该公司所有客户的数据,并且擦除了大多数服务器上面的内容。
2018年,“前沿数控”因生产云数据备份恢复失败而濒临倒闭。
2018年北京一软件工程师徐某离职后因公司未能如期结清工资,便利用其在所设计的网站中安插的后门文件将网站源代码全部删除。最终徐某因破坏计算机信息系统罪成立,获刑五年。
2018年杭州科技公司的技术总监邱某因不满企业裁员,远程登录服务器删除了数据库上的一些关键索引和部分表格,造成该企业直接经济损失225万元,后被判赔偿公司8万元,判刑2年6个月,缓刑三年。
致命的删库(跑路)事件反复上演,暴露出“打地鼠”式的安全管理思路并不能解决根本问题,企业需要“把内部威胁功能从临时措施变为可重复和可改进流程”,关键是要找到合适的内部威胁成熟度参考框架,并在企业战略和风险管理设计层面将安全作为重要的原生要素考虑,即所谓的安全设计和原生安全。
早在2018年,受拉德利曼宁和斯诺登事件的刺激,美国司法部长和国家情报总监联合领导下的国家内部威胁特别工作组(NITTF)发布了一份新的《内部人员威胁项目成熟度框架》。该框架的目的是帮助政府部门和企业大大提升其ITP(内部威胁保护)的有效性,变得更主动、更全面、更能威慑、检测和缓解内部人员威胁风险。
除了内部威胁治理的框架和管理程序外,IT运维人员的心理问题,例如压力和倦怠,往往也是企业风险管理的盲区。其实,通过员工心理和语言行为分析,是可以及早发现和预防怠工破坏行为的。
2017年情报与国家安全联盟(INSA)曾发布一篇论文提出,心理语言学分析可用于事前检测内部人员威胁的发展脉络。
论文讨论了所谓的怠工行为(CWB),断言恶意内部人不是天生的,是生活和工作压力迫使他们成为了恶意内部人士。不断升级的怠工行为可通过对电子邮件、个人博客、聊天内容和朋友圈的心理语言学分析加以检测——其理论就是:可以在员工演变为恶意内部人之前预先检测出来,并施以帮助,防患于未然。
远离不穿裤子的云:SaaS供应商安全性评估
疫情期间,大量SaaS应用纷纷打出抗疫免费牌,面对漫天的馅饼,很多企业迷失了方向。其实,企业选择SaaS云服务的主要目的不是为了省钱,而是为了在安全稳定的基础上提高企业敏捷性(例如支持远程团队)、效率和生产力。由于SaaS产品存在锁定成本,即使是中小企业和创业团队,选择供应商时也应该高度重视供应商安全性评估。
例如,微盟出事了,并不意味着慌慌张张跳上有赞的船就一定更安全(或不安全),企业必须清楚,云服务商承诺的“n个9”和备份服务,并不能确保数据安全,企业应当对包括云服务商在内的供应链第三方供应商,主动进行充分的安全性评估,并形成一个固化的标准安全流程。
从执行层面来看,设计调查表是安全评估的关键环节,安全咨询公司Tripwire曾对包括SaaS服务商在内的第三方供应商安全评估(VSA)的调查表内容给出了几点建议,这些建议同样适用于供应链上的其他企业,具体如下:
1 、数据资产分类
使数据处于“需要知道”的最小化授权体系中。这不仅包括访问驱动器共享文件夹,还包括Git,Salesforce和Confluence等应用程序。它还确保仅将工具内的适当访问权限授予正确的员工。虽然使用上述工具的开发运维人员面对信息孤岛和安全控制流程常感沮丧,但是通过防止过分授权数据访问和操作,企业可以保护数据免受各种威胁。如果员工只能从受限制的位置进行数据检索,他们将时刻铭记应当谨慎处理此类数据。
2 、人员聘用和解雇的安全程序
是不是经常有搞IT的朋友跟你说,嘿哥们,想不想知道我几年前做的xx项目的后台数据,我那个路由器/数据库管理账户还能用。事实无数次表明,人员威胁管理依然是评估供应商的最重要的标准之一,SaaS供应商需要证明相关工作人员的入职和离职流程有效,尤其是确保离职员工或解约承包商无法再登录查看任何数据。SaaS服务、应用市场、电商平台工作人员因受贿渎职导致的企业数据泄露事件,已经数不胜数,因此,企业应当要求SaaS供应商和合作协议中明确界定数据访问权限、清洗条款和时限、人员就职离职程序有效性和安全性等。
3 、数据备份
有很多缓解风险的方法,其中最重要的就是对系统进行良好的备份。云服务商会承诺你多重备份,但是你应当明白,很多时候云服务商自己也分不清“能”和“会”的区别。
4 、服务器强化
对于任何生产系统,运行软件的服务器必须确保安装最新的补丁程序并符合具其他安全标准。这听上去像是废话,但是请记住,很多时候,测试或实验环境服务器最终会通过一系列人畜无害的步骤成为关键任务服务器。
5 、安全意识
是否所有员工在入职和工作期间都得到了定期的,足够有效的安全培训?如果企业不能定期提醒员工并练习其安全意识技能,例如通过模拟的网络钓鱼电子邮件攻击,则企业安全的“人肉”环节将很容易受到打击。
参考资料
美国政府内部威胁保护成熟度框架:
https://www.dni.gov/files/NCSC/documents/nittf/20181024_NITTF_MaturityFramework_web.pdf