您的位置: 网界网 > 周报全文 > 正文

[周报全文]背叛的悲剧—内部IT员工安全攻击经典案例分析

2011年02月21日 13:52:29 | 作者:范范 编译 | 来源:网界网 | 查看本文手机版

摘要:一个流氓IT管理员造成的损失要远比一群黑客攻击造成的损失大得多。而美国特勤局和计算机紧急反应小组(CERT)发现,四分之三的公司成为了内部员工背叛的受害者。

标签
安全攻击
内部员工

【CNW.com.cn 专稿】如果你接到了来自商业软件联盟(BSA)的一个电话,电话那头告诉你,你们公司使用的部分微软软件可能是盗版的,这对首席信息官[注]来说,无疑是一场恶梦。

通过调查你会发现,不仅你使用的软件是盗版软件,而且这些软件竟然是你信任了七年之久的IT系统管理员在你不知情的情况下购入公司并运行的。在你仔细审查这名管理员的工作之后,你发现这名管理员居然在公司服务器上运营着一个收费色情网站。然后,你又发现他还通过公司的电子商务服务器私自下载了400名客户的信用卡账号。

最糟糕的事情是,他还是唯一掌握着管理员密码的人。

想想看,这种情况会不会发生?这种情况确实发生过。一家位于宾夕法尼亚州、拥有2.5亿美元资产的零售商就曾经向一家安全顾问公司就这种情况求助过。由于最后这家公司选择了保持沉默,这件事情才没有被曝光。

尽管很少有关于IT员工变成流氓管理员的消息被媒体曝光,但是大多数公司都是悄悄地在私底下尽可能防范这种事情。

IDG集团《CSO》杂志年度报告援引CERT(美国特勤局和计算机紧急反应小组)威胁与事件管理小组技术主管Dawn Cappelli的话称,发现四分之三的公司成为了内部员工背叛的受害者。她称:“我们知道媒体曝光的事件仅仅是冰山一角。”

由于对事件保持沉默,因此其他公司根本无法从这些受害公司的经历中吸取教训。CERT试图填补这一空白。他们从2001年起开始研究内部威胁,从400多起案例中总结经验。在其最近公布的报告中,他们分析了250起案例,找出了大多数公司最容易犯的错误。例如在招聘程序中没有充分的审查,对访问特权缺乏充分的监督和监管,忽视员工的不良行为等。

拥有特权的IT员工造成的威胁很难被侦测,他们的不法行为被隐藏在日常工作中。Cappelli称,IT员工在例行性地“编写脚本、编辑代码,编写程序,这看起来并没有什么异常。”他们知道企业的安全弱点在什么地方,知道如何掩盖他们的不法行为。你不能信赖技术或任何预防措施来防范流氓管理员。你还不得不着眼于全局。

Cappelli称:“我们不仅仅要关注他们在线做什么,还要注意他们工作的地方有没有出现什么异常情况。大家需要理解这些案例,知道这些数字背后的故事。”

美国Computerworld网站为我们列出了以下几个经典案例,这些案例都没有被广泛报道过。尽管受害的公司保持了沉默,但是安全顾问将为我们厘清了其中的头绪。尽管每一个案例都有着特殊的背景,但是这些案例中都有一些代表性的东西。

不仅是盗版软件,还有更糟糕的

安全顾问公司eIQ Networks的首席安全官兼合规官John Linkous称,宾夕法尼亚州的零售商案例发生在2008年早些时候,当时BSA告之他们,微软发现他们的许可证有问题。他经历了这一案例,当时他还是安全顾问公司Sabera的经营副总裁,不过现在这家公司已经倒闭了。

微软从可疑软件的销售一直追踪到使用软件的公司的系统管理员。在这个案例中,我们将这名系统管理员称之为“Ed”。当时Linkous和Sabera公司的同事被要求秘密进行调查,他们发现Ed向他的雇主出售了50多万美元的盗版微软软件、Adobe软件和SAP软件。

调查人员还注意到网络带宽的使用有异常。Linkous称:“我们认为还有某种基于网络的攻击存在。”他称,他们通过跟踪发现,服务器上还存有5万余张色情图片和2500部色情录像。

此外,在警方对Ed的工作站进行搜查后,他们发现了一张写有数百个信用卡号码的电子表单,这些信用卡号码都是从公司电子商务网站上私自下载下来的。Linkous称,虽然没有任何迹象显示这些号码被使用过,但是这张电子表单暗示,Ed正在考虑自己使用这些信用卡数据,或是将这些数据出售给第三方。

公司的首席财务官和其他一些高管担心Ed在受到质问后可能会做出一些不理智的行为。Ed是唯一掌握某些管理密码的人,包括核心网络路由器/防火墙的密码、网络交换机密码、公司VPN密码、人力资源系统密码、电子邮件服务器管理员密码、Windows活动目录管理密码,以及Windows桌面管理密码等。

这意味着Ed已经控制了公司几乎所有主要的业务程序,包括公司网站、电子邮件、财务报告系统和薪水册。Linkous称:“这家伙拥有整个王国的钥匙。”

这家公司和Linkous的公司发起了一个代号为“不可能完成的任务”的行动。他们使用了一个策略,让Ed连夜飞到加利福尼亚。Ed的长途飞行给了Linkous团队五个半小时的时间。在这段时间内,Ed无法访问系统。他们尽可能快地绘制了网络拓扑图,重置了所有的密码。当Ed飞到加利福尼亚后,公司的首席运营官已经在那里等他,并告之他已经被解雇。

给公司造成的损失

Linkous估计这一事件给这家公司至少造成了25万美元至30万美元的损失,其中包括了支付给Sabera的费用、让Ed飞往加利福尼亚的费用、起诉Ed的费用、雇用临时网络管理员和新首席信息官的费用,以及购买正版软件许可证的费用。

防范措施

怎样才能防止此类灾难呢?很明显,至少要有其他人应当知道密码,但是更重要的是要分清职责。这家零售商只有一个规模很小的IT团队(仅6个人),所以Ed能够同时拥有管理和安全职责。这意味着他是在自己监督自己。

Linkous 知道,对于拥有小规模IT团队的公司来说,将职责分开是一项艰巨的挑战。他建议这些小公司监督所有的事情,包括日志、网络信息和系统配置变动,由其他人进行评估,而不是由系统管理员或用他们自己的报告进行评估。最重要的是要让IT员工知道他们正在受到监管。

第二,在雇佣Ed时,公司没能做一个详细的背景审查。CERT研究结果显示,在从事IT破坏的内部员工中,有大约30%的人曾经被警方逮捕过。事实上,简历中的任何造假行为都应当引起注意。尽管公司曾经对Ed进行过犯罪背景调查,但是没有核实他在简历中所提到的证书。其中一些证书在后来被发现是伪造的(比如他并不是MBA)。

第三,Ed的性格应当被视为危险信号。Linkous在与Ed进行过面对面的接触后发现,“他似乎认为自己比同一办公室的同事要聪明。”Ed的傲慢态度让Linkous想起了名声狼藉的安然公司高管们。他称:“他们过度自信、骄傲自大,并且看不起其他人。”CERT发现,流氓管理员通常都易怒。

12

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]