您的位置: 网界网 > 周报全文 > 正文

[周报全文]如何防范最严重的内部威胁

2010年10月20日 13:08:48 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要: 对于公司网络来说,最大的内部威胁是什么?正是那些掌握高科技知识的雇员,他们能够组建网络、修改网络,比任何人都更清楚网络上的内容,以及网络的运作方式。

标签
内部威胁
系统管理员

【CNW.com.cn 专稿】对于公司网络来说,最大的内部威胁是什么?正是那些掌握高科技知识的雇员,他们能够组建网络、修改网络,比任何人都更清楚网络上的内容,以及网络的运作方式。

Fordham大学首席信息安全官Jason Benedict称:“如今,比起黑客来,我更担心来自内部的威胁,因为在内部威胁面前我们不堪一击。我们有防火墙,有入侵防护系统,有防病毒软件。对于防范外部风险,我们已经取得了相当大的成功。但是对于内部威胁,我们却漏洞百出。我从来都没有想过我们内部会有心怀鬼胎、处心积虑地窃取并出售信息的人。但是我们却经常看到有人在浏览他们根本无权查看的信息。我们还发现一些拥有高级权限的人滥用他们的权限,浏览雇员的薪金表。”

内部威胁的源头

如果数据库、网络或系统管理员变成了流氓——他们盗取数据,为自己设置秘密访问权限,甚至安放逻辑炸弹摧毁数据,偷窥敏感数据,那么他们就成为了严重的内部威胁的根源。

实际上,与其他的雇员相比,拥有特殊访问权限的IT雇员通常会被视为重大风险和潜在威胁。

全球金融服务公司Computershare的首席信息安全官Donna Durkin称:“他们可能带来的高风险与他们潜在的破坏能力相关。因此他们不同于其他的雇员。”

雷神公司内部威胁技术执行总监Mike Theis也认为,与公司的其他雇员相比,系统管理员和那些有着特殊访问权限的用户具有更大的潜在威胁。他称,在他作为联邦政府和商业部门调查员的数十年工作经历中,有一半的案件来自这类威胁。

Theis称:“这并不是说他们蓄意为之。有时候,他们只是想把工作做好,但遗憾的是,他们的作法违反了公司的规定。”

有时候,IT雇员迫于诸如业务或销售经理的压力而不得不违反IT规定来进行操作。如违规添加网络打印机。

关于访问特权的一个要点是,必须确保随着IT雇员工作的调整,让他们拥有适当的资源访问权限。仅在北部地区,Computershare公司内就有大约 100名IT雇员拥有特殊的IT资源访问权。不过公司每月会对这些雇员的资格进行审查,以确保他们拥有与他们的工作角色相匹配的系统和数据访问权限。

Computershare正在从Durkin所说的人工资格审查向自动审查系统过渡,他们采用了Sailpoint研发的自动系统。以前的人工审查需要业务和IT经理[注],以及人力资源部门输入数据,现在软件能够通过多种应用让数据库符合预置的规定和条件。

随着内部威胁越来越受到关注,Computershare也将重点放在了这一不断增长的现实问题上。Verizon最近发表的2010年数据泄漏调查报告显示,大约48%的数据泄漏源自内部威胁。该报告对2009年发生的275起数据泄漏事件进行了分析。数据显示,这一威胁比上一年度增长了26%。

Verizon报告指出,诸如黑客等外部威胁所窃取的数据远高于内部威胁。但是报告也指出,在内部威胁事件中,90%是蓄意和恶意行为,它们通常涉及到滥用特权。报告强调,这些雇员通常都得到了超过他们工作范围的特权,并且没有受到充分的监管。调查还发现,在与内部威胁有关的犯罪中,24%与工作调整有关。这些雇员的犯案通常发生在被解雇或职务被调整之时。

系统管理员知道他们手中权力的重要性,也知道他们的权力会被带有不满情绪的同事滥用。

德国第二大银行、德国商业银行高级系统工程师Angelo DiPietro称:“内部威胁非常严重。你不清楚那个人是谁,而那个人可能就在你的身边。当他们的生活出现问题后,他们就会爆发出不满的情绪。”

DiPietro清楚,有着网络信息访问特权的IT雇员很容易误入歧途。他称:“仅仅出于好奇,他们也会登录一些不该去的地方。”他强调指出,试探系统的限制是人类的天性。

为了应对这一嗜好,发现任何恶意行为,安全专家称公司需要监视那些拥有网络特权的人。在这方面,德国商业银行通过软件来监控雇员的行为。他们使用 ArcSight企业安全管理器和企业随机密码管理器来监控系统管理员和其他雇员的行为。DiPietro称:“自从我们采取了这些措施后,所有雇员都很规矩。”

Lieberman公司的密码管理软件通常被视为是一种“报警电话”,他们给予最高IT经理批准账户临时提高访问域的权力。批准提高一个账户的权限需要多个不同经理的认可。

当超过时限后,德国商业银行使用的这套系统会自动重置账户的权限,提高权限的申请会被以多种理由遭拒。DiPietro称:“我已经拒绝了许多次申请。”

这种情况显然对前旧金山市网络管理员Terry Childs来说是刻骨铭心。Childs被授权帮助建立旧金山现代FiberWAN网络,但是两年前他拒绝向经理交出网路路由器的密码。很明显,Childs 担心自己会失去工作或被重新安排职位。Childs的这一行为导致他被警方逮捕,并被判有罪,获刑四年。

作为陪审团成员的思科认证互联网专家Jason Chilton称,他发现这一案件中,最困难的部分是确认谁是合法的密码拥有者。因为旧金山市对此并没有特别的规定。

Chilton称,他发现尽管Childs“可能有一点偏执”,但是他还是值得同情的。他的问题是,他没有受到很好的监控,他被授予了绝对的权力。

123

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]