防范內(nèi)部人員從五個途徑破壞網(wǎng)絡

dbn9981 2022-03-16

展開全文

　　內(nèi)部人員由于工作便利，往往會對企業(yè)網(wǎng)絡造成更大的破壞，并且很難監(jiān)控。該如何防止來自公司內(nèi)部人員的安全攻擊事件發(fā)生呢？本文分析了五種常見的途徑。
　　不久前，Cox通信公司的員工William Bryant故意破壞信息技術，導致該公司成千上萬個商業(yè)和居民用戶無法使用計算機、電信和911急救服務。雖然Bryant面臨10年有期徒刑和25萬美元罰款的下場，可對Cox公司來說，雖然其服務已經(jīng)完全恢復，但對其名譽造成的不利影響卻難以預測。
　　Cox案例，加上最近披露的美國宇航局、埃森哲、服裝零售商蓋普（Gap）和美可保健集團（Medco）等多家機構發(fā)生的安全事件為我們敲響了警鐘：內(nèi)部人員會帶來各種安全威脅。數(shù)據(jù)被偷和故意破壞會帶來慘重損失，與法規(guī)遵從有關的問題、巨額的法律訴訟費、工作效率受影響等問題，可能造成的嚴重的后果――讓公司名譽掃地！
　　計算機安全學會（CSI）的最新調(diào)查顯示，內(nèi)部人員的威脅增加了17%；德勤會計師事務所與《CSO》雜志的近期調(diào)查同樣表明了這一趨勢。隨著IT和通信系統(tǒng)越來越復雜，需要管理這些系統(tǒng)的員工、承包商和托管服務提供商的數(shù)量也隨之增多。這些內(nèi)部人員對公司關鍵網(wǎng)絡的訪問常常不受限制、不受監(jiān)控，威脅猛增也就不足為奇。
　　因此，公司要像對待外部人員那樣嚴密監(jiān)控內(nèi)部人員。不過由于內(nèi)部人員擁有完成工作所需的較高的訪問權限，因此，對內(nèi)部人員進行監(jiān)控難度很大。以下介紹內(nèi)部人員用來訪問網(wǎng)絡資源的五種最常見方法，并提醒IT人員采取措施防范隱含的威脅。
　　
　　途徑一：
　　通過調(diào)制調(diào)解器
　　
　　由于調(diào)制調(diào)解器缺乏集中管理，并且采用易于猜中的靜態(tài)密碼，因此，熟悉網(wǎng)絡知識的內(nèi)部人員很容易通過調(diào)制調(diào)解器進入公司網(wǎng)絡。許多IT人員采取在不用調(diào)制調(diào)解器時撥掉電源的土辦法來解決這個問題。但如果撥掉電源，它們也就不可能發(fā)揮預期的作用――即遇到緊急事件或者停電時遠程恢復關鍵系統(tǒng)。
　　由于調(diào)制調(diào)解器必不可少，企業(yè)必須把用來保護其他遠程網(wǎng)絡入口點的安全和身份確認措施同樣運用于調(diào)制調(diào)解器中。因此，公司可以對調(diào)制調(diào)解器同樣采取雙因子驗證措施，或者用內(nèi)置多因子驗證機制的更安全的調(diào)制調(diào)解器換掉舊設備。
　　
　　途徑二：
　　通過開放的文件傳輸
　　大多數(shù)公司使用開放的文件傳輸來給網(wǎng)絡基礎設施打補丁。內(nèi)部技術人員和供應商可利用這種訪問途徑，診斷故障、打上相應補丁或者糾正問題。不過，他們也可能會濫用這種自由，更改文件、刪除關鍵組件、甚至破壞系統(tǒng)，從而導致系統(tǒng)無法運行、網(wǎng)站被篡改、數(shù)據(jù)被偷及其他破壞。
　　一些滿腹牢騷或者被解雇的員工可能具有從事上述破壞活動的知識和動機。連本意是好的員工也有可能粗心大意，無意中犯錯誤。因此，保護信息資產(chǎn)需要控制誰能夠上傳及下載文件，還要把系統(tǒng)出現(xiàn)的所有更改、誰作了更改等信息，清楚地記錄下來，以便于調(diào)閱。
　　過去，限制及監(jiān)控開放的文件傳輸要求對每臺機器設置單獨的許可，這給IT部門帶來了麻煩。供應商訪問與控制（VAC）系統(tǒng)等新技術能夠限制訪問、監(jiān)控活動――既可針對整個公司，也可針對特定的系統(tǒng)。
　　
　　途徑三：
　　開放的Telnet和SSH端口
　　借助第三方遠程訪問系統(tǒng)及診斷故障的公司應當合理保護或者關閉Telnet和SSH端口。因為，遠程技術人員只要一個內(nèi)部的IP地址，就能利用這兩個端口悄悄進入公司網(wǎng)絡中。
　　想當然地以為技術人員對IP地址分配方案了解有限是很危險的。此外，基礎設施設備常常共享一個容易猜中的密碼，這樣一來，內(nèi)部人員很容易訪問未授權的設備。
　　建議公司限制第三方通過Telnet或者SSH對系統(tǒng)訪問，不得超出服務的通常范圍，除非這種訪問被記錄下來，或者對方在貴公司工作人員陪同的情況下進行訪問。另一個辦法是，使用中間系統(tǒng)為這些訪問建立代理服務器，這增加了控制及跟蹤級別。
　　
　　途徑四：
　　通過服務器控制臺端口
　　技術人員經(jīng)常在路由器和Linux/Unix服務器上，連接到串行控制臺端口。為了提供可擴展的訪問服務，公司通常會使用終端服務器連接到串行控制臺端口。不過在默認情況下，終端服務器具有極低的安全性。
　　內(nèi)部人員只要獲得對一臺終端服務器的訪問權，就可能訪問或破壞成千上萬個系統(tǒng)。正因為如此，建議公司應當經(jīng)常檢查終端服務器的安全功能，并且在存放敏感數(shù)據(jù)（如財務記錄、客戶數(shù)據(jù)和人力資源信息）的系統(tǒng)的控制臺端口外面放置安全設備。
　　
　　途徑五：
　　未加監(jiān)控的外聯(lián)網(wǎng)流量
　　外聯(lián)網(wǎng)為許多公司提供了方便，讓公司可以向供應商、客戶、合作伙伴開放自己的網(wǎng)絡，支持實時協(xié)作。如果與外部人員共享的系統(tǒng)數(shù)量少，這些系統(tǒng)上的授權級別又能得到嚴格控制，外聯(lián)網(wǎng)（如IPSec、SSL和遠程桌面）的使用效果會相當好。但是，外聯(lián)網(wǎng)也可能會成問題，因為也許要訪問多個系統(tǒng)，或者必須授予接入者高級別的權限，公司常常無意中授予訪問者過大的訪問權，而訪問活動也無法受到密切監(jiān)視及控制。
　　雖然許多第三方提供商值得信任，但應該認為這是有風險的。不管訪問網(wǎng)絡的是公司員工還是第三方提供商。內(nèi)部人員可能濫用網(wǎng)絡、可能犯錯誤，也有可能偷取數(shù)據(jù)。加強安全意識，并且采取幾項保護措施，能夠降低風險。(清水編譯)