南洋姐墓:流氓系统管理员为最大的内部威胁

来源:百度文库 编辑:科学网 时间:2019/10/17 06:00:00

对于公司网络来说,最大的内部威胁是什么?正是那些掌握高科技知识的雇员,他们能够组建网络,修改网络,比任何人更清楚网络上的内容以及网络的运作方式。如果数据库、网络或系统管理员变成了流氓----他们盗取数据,为自己设备秘密访问权限,甚至安放逻辑炸弹摧毁数据,偷窥敏感数据,那么他们就成为了严重的内部威胁。实际上,与其他类型的雇员相比,拥有特殊访问权限的IT雇员通常会被视为重大风险和潜在威胁。

全球金融服务公司Computershare的首席信息安全官Donna Durkin称:“他们的高风险与他们潜在的破坏能力相关,因此他们不同于其他类型的雇员。”

雷神公司内部威胁技术执行总监Mike Theis也认为,与公司的其他雇员相比,系统管理员和那些有着特殊访问权限的用户具有更大的潜在威胁。他称,在他作为联邦政府和商业部门调查员的数十年工作经历中,有一半的案件来自这类威胁。

Theis称:“这并不意味着他们蓄意为之。有时候,他们只有想把工作做好,但是他们作法违反了公司的规定。”

有时候,IT雇员迫于诸如业务或销售经理的压力不得不通过违反IT规定进行操作,如违规添加网络打印机。

关于访问特权的一个重点是,确保随着IT雇员工作的调整,让他们拥有适当的资源访问权限。仅在北部地区,Computershare公司内就有大约 100名IT雇员拥有特殊的IT资源访问权,不过公司每月会对这些雇员的资格进行审查,以确保他们拥有与他们工作角色相匹配的系统和数据访问权限。

Computershare正在从Durkin所说的人工资格审查向自动审查系统过渡。他们采用了Sailpoint研发的自动系统。以前的人工审查需要业务和IT经理以及人力资源部门输入数据,现在软件能够通过多种应用让数据库符合预置的规定和条件。

随着内部威胁越来越受到关注,Computershare也将重点放在了这一不断增长的现实问题上。据Verizon的2010年数据泄漏调查报告 显示,大约48%的数据泄漏源自内部威胁。该报告对2009年发生的275起数据泄漏事件进行了分析。数据显示,这一威胁比上一年度增长了26%。

Verizon报告指出,诸如黑客等外部威胁所窃取的数据远高于内部威胁。但是报告指出,内部威胁事件中,90%是蓄意和恶意行为,它们通常涉及到 滥用特权。报告强调,这些雇员通常都得到了超过他们工作范围的特权,并且没用受到充分的监管。调查还发现,在与内部威胁有关的犯罪中,24%与工作调整有 关,这些雇员或被解雇或被在公司内部重新安排职位。

系统管理员知道他们权力的重要性,也知道他们的权力会被带有不满情绪的同事滥用。

德国第二大银行德国商业银行高级系统工程师Angelo DiPietro称:“内部威胁非常严重。你不清楚那个人是谁。那个人可能就在你身边。当他们的生活出现问题后,他们就会爆发。”

DiPietro清楚,有着网络信息访问特权的IT雇员会误入歧途。他称:“出现好奇,他们将会登录一些地方。”他强调试探系统的限制是人类的天性。

为了应对这一嗜好,发现任何恶意行为,安全专家称公司需要监视那些拥有网络特权的人。在这方面,德国商业银行通过软件来监控雇员的行为。他们使用 ArcSight企业安全管理器和企业随机密码管理器来监控系统管理员和其他雇员的行为。DiPietro称:“自从我们采取了这些措施后,所有的雇员都 很规矩。”

Lieberman公司的密码管理软件通常为视为是一种“报警电话”,他们给予最高IT经理批准账户临时提高访问域的权力。批准提高一个账户的权限需要多个不同经理的认可。

当超过时限后,德国商业银行使用的这套系统会自动重置账户的权限。提高权限的申请会被以多种理由被拒。DiPietro称:“我已经拒绝了许多次申请。”

这种情况显然对前旧金山市网络管理员Terry Childs刻骨铭心。Childs被授权帮助建立旧金山现代FiberWAN网络,但是两年前他拒绝向经理交出网路路由器的密码。很明显,Childs 担心自己会失去工作或被重新安排职位。Childs的这一行为导致他被警方逮捕,并被判有罪,获刑四年。

作为陪审团成员的思科认证互联网专家Jason Chilton称,他发现这一案件中,最困难的部分是谁是合法的密码拥有者,因为旧金山市对此并没有特别的规定。

Chilton称,他发现尽管Childs“可能有一点偏执”,但是他还是值得同情的。他的问题是,他没有被很好的监控。他被授予了绝对的权力。

监视监控者

越来越多的公司开始将拥有特权的IT雇员视为内部威胁。虽然公司会通过让他们负责公司关键数据的方式暗示他们值得信任,但是执行强力安全控制对公司有益。

德克萨斯州麦卡伦市IT项目经理Rudy Juarez:“由于我们是在知识型公司,因此我们必须树立榜样。” Juarez正在建立一个全新现代化跨国数据中心和网络,其与墨西哥Anzalduas国际桥接设施相联。麦卡伦还升级了市政厅和其它市政建筑的网络。

项目中最重要的信息被存放在限制访问的IT部门数据中心。IT雇员和服务提供商需要使用生物指纹才能访问。Bioscrypt指纹识别器授予访问者权限。

Juarez指出,基于指纹的访问权限控制比门禁卡控制更为有效,因为门禁卡会被人冒用。和其它的市政大楼一样,数据中心内还安装有视频监控系统。 他们通过Matrix系统公司研发的Frontier Standard软件整合了物理安全系统,其中包括新的HID综合门禁和发放给雇员的考勤卡。

由于网络和安全控制的核心是数据中心,对服务器的访问也受到了限制,只有一小部分IT部门的雇员可以访问IT系统。问题并不是其他的IT雇员不值得信任,而是为了降低风险,特别是在越来越多的市政网络和安全基础设施被集中在数据中心的时候。

IT安全分析师称,公司应当根据“职责分离”(又被称为“职责隔离”)的概念对IT雇员工作结构进行调整。这样可以在制度上检查和监控,以防止权力 过于集中在某个人身上。不过这种办法操作起来并不容易,并且成本高昂。随之而来的问题是,尽管公司努力让IT安全经理和审查者受到监控,但是系统管理员常 会涉及企业安全部署的多个方面。

 

SystemExperts咨询公司分析师Phil Cox称,他近期对一名在十年间多次从IT运作、网络、电信和桌面支持之间调整工作的系统管理员进行了研究。Cox称:“随着时间的流逝,这名管理员越来 越频繁的访问那些与他工作无关的信息。”这名管理员是一名外国人,并最终离开了公司。公司检查了他存储的最后一周的电子邮件,这是公司对离职人员常用的审 查方式。他们发现了一些奇怪的地方,这让经理认为他带走了数据。随后他们检查了他的登录日志,并发现他访问了三年前访问的数据。

Cox推荐的策略是“根据雇员当前的角色授予访问权限。搞清楚哪些是正常访问部分。” SIEM工具很有帮助,同时还需要制订详细的规定。如禁止任何人在机器上进行根登录。如果你发现一次根登录,那么你需要进行调查。

用户于临时访问的企业密码管理工具看上去很具吸引力,但是实际使用中却很难发挥作用。Cox称:“因为如果系统管理员每次想进行操作的话都必须要得到授权,那么将牵扯巨大的精力,这样一来就不会被使用。”

Cox指出还有第三方服务,如用于寻找IT雇员可疑行为的SecureWorks。当然,不要让被监控的IT雇员接触到监控程序。

Theis称,虽然在监控IT雇员时必须通知他们,但是向他们隐藏监控机制非常重要,这样他们就无法躲避监控。他称,在许多案例中,系统管理员都竭力找出不让监控工具在他们机器上运行的托词,并千方百计让监控程序失灵,所以可尽可能的对雇员们保守秘密。

目前对监控技术以及自动阻止IT雇员可疑行为的技术还存在着许多争议。雷神公司内部威胁专家Theis对不带阻止的监控技术表示支持,原因是所有的行为都会发生,但是仅有一小部分行为是恶意的。

市场调研公司Forrester研究的分析师Chenxi Wang称,当系统管理员查看他不应当看的电子邮件和文件时,他的行为违反了保密规定,但是这很难被制止,从某种程度上说,在正常操作中,这种事很容易发 生。她称:“重要的是看意图。他们是在解决IT问题,还是出于好奇?”

Wang强调称,那些拥有访问网络资源特权的IT雇员也是高价值攻击目标。她指出,前段时间对谷歌的攻击被认为与将一名特权用户作为目标有关。

另一部分需要监控的人员是外包商和第三方合作伙伴中的IT雇员,这些IT雇员虽然不是公司的直接雇员,但是他们可以像公司的直接雇员那样访问公司网络。

Theis称,最重要的事件是要能够精确识别可信任的雇员。这意味着要甄别出那些在背景审查中不及格或有犯罪记录的应聘者。

对IT人员进行背景审查如果已经变得很普遍,就如同信用卡行业的数据安全标准那样。Cox称:“PCI DSS会详细辨认你是否有持卡人数据,他们必须要进行背景审查。”

洛杉矶雇员退休局首席信息官James Pu称,在他的部门中,在雇用IT人员时进行背景审查已经成为了必做事项。这项工作主要由人力资源部门操作,背景审查中还包括审查信用记录和债务人消费模 式。Pu称:“这对于聘用人员来说非常重要。聘用人员不能有任何犯罪记录、诈骗行为、盗窃行为或是道德缺失,否则将被视为不合格。”(范范编译)

编译/网界网