斩断伸向企业数据的黑手

　　关键词：信息安全，数据安全，信息泄露，高级持续性威胁

　　现代社会已经全面进入了信息化时代，电脑与互联网已经是企业日常生产经营中无法脱离的工具。广大企业在利用信息技术提高生产效率的同时，也往往对信息系统安全，尤其企业核心数据的安全如何防护十分担心。

　　从近些年企业数据安全事件来看，信息安全防护情形不容乐观。

　　案例一：2011年6月，国内某装备制造业领军公司频遭黑客攻击造成数据泄露，经查，为竞争对手以每月数万价格雇佣黑客入侵办公自动化（OA）系统，窃取大量的商业秘密。

　　案例二：2012年1月，亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击，2400万用户的电子邮件和密码等信息被窃取。而且让人堪忧的是，部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内，意味着所有人都可使用这些信息。

　　案例三：2012年8月，上海数十万条新生儿信息遭倒卖，据了解，信息是由上海市卫生局数据库外包维护工作人员泄露。

　　案例四：2013年3月，东软集团被曝商业秘密外泄，约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。此次商业秘密外泄造成东软公司损失高达4000余万元人民币。

　　案例五：2014年3月，乌云漏洞平台发布消息称，携程网用户支付信息出现漏洞，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码等。

　　案例六：2014年8月15日，国内虚拟货币交易所比特儿遭到攻击，被盗5000万个NXT（未来币），按照目前每一枚NXT0.2073元的价格计算，如果不能收回损失，交易所将亏损1000万元。

　　这些安全事件发生在不同行业，产生的原因也不同，总结下来有四类：

　　1.来自于内部人员泄漏。

　　由于对内部企业数据访问管理和防护失当，以致内部人员能够轻易的利用数据牟取不法私利。

　　2.来自于外部黑客攻击。

　　新的系统漏洞在不断地被发现，如果企业没有能力应对黑客的挑战，往往会遭受极大损失。

　　3.来自于应用系统不完善。

　　企业未经严格审核向外发布的互联网应用有重大的安全漏洞或者安全隐患，比如重要数据信息未加密等。影响较大的还有中国铁路客户服务中心12306网站在上线之初就被发现有漏洞泄露用户信息，可查询登录名、邮箱、姓名、身份证号码以及电话号码等隐私信息。

　　4.来自于第三方服务公司泄漏。

　　有些机构或企业没有足够技术能力，运维是外包给第三方公司完成的，但未能定时监督第三方运维公司对信息数据的各种操作，使得企业数据安全不得不仅仅依靠第三方运维公司其自身的职业操守和职业道德，这种缺乏流程监督的操作显然是极为不可靠的。

　　以上的信息安全事件，揭露了信息泄露的主要途径。其中，黑客入侵属于网络安全的外部隐患，而其他方面却主要归结于内部信息安全管理防护差，管理措施的缺失、监管环节的薄弱、信息安全防护水平的偏低等因素，使得不法之徒有机可乘。前车覆，后车鉴，随着信息安全形势更加严峻，在市场竞争激烈的今天，企业保护自身核心数据安全必须成为重要的工作。

　　可是对于企业而言，核心数据的安全防护却有着格外的困难。

　　当前，以高级持续性威胁(Advanced Persistent Threat，APT)为代表的数据泄露是企业级信息安全面临的主要挑战，严重威胁着企业信息资产安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

　　“潜伏性”和“持续性”是APT攻击最大的特点，APT以目标网络中的用户为切入点，利用社交工程实施攻击，绕过传统被动安全方案（如防病毒软件、防火墙、IPS等），并更长时间地潜伏在系统中，长期进行有计划性、组织性的窃取情报行为，让传统防护体系难以应对。

　　同时，随着计算机网络硬件设施成本的降低，企业信息化程度越来越高，公司制度、发展规划、会议纪录、财务数据、商业合同、客户信息这些对企业极其重要的数据都存储在硬盘上。另一方面当前大多数企业开始地从劳动密集向技术知识密集转型，公司的设计方案、工程图纸、程序代码、科研成果这些代表企业核心机密的数据尤其需要保护。

　　然而中小型企业对于信息安全的防护力量却难以保障：很少有企业雇佣信息安全专员，而是只有IT维护人员；很少有企业有完善的信息安全制度，即便有也很难执行，因为会影响工作效率；很少有企业长期购买信息安全服务，但往往当信息安全事件已经发生时再应急响应已经来不及。

　　这类企业对于数据安全需求有这样的特点：

　　高效性，数据安全解决方案决不能以牺牲生产力为代价，在设计安全管理解决方案之前，首先应对具体企业实际业务需求做详细的评估。目标应是能够保障、提升企业生产能力，为企业创造更高的效益。在确保高生产力的目标实现的前提下，企业的安全解决方案应实现尽可能的简化，对于安全架构人员和安全实施人员而言，将减少很多后续的管理和维护工作，对于企业终端用户而言，不要花费太长时间的培训，用户即能够应用、升级、维护现有的安全防护。

　　可控性，安全解决方案的效果应具有明确的效果，让企业对于安全的投资有直观的认识，方便企业做判断和选择，包括安全的可控性、成本的可控性和扩展的可控性。

　　对策建议：预设打击，站在攻击者的角度思考和解决问题

　　传统安全方案以被动防护为主，以“网域”中的各个物理节点为防御阵地，层层设防，通过安装防病毒软件、防火墙、安全代理等在不同部位逐层设防，其技术手段滞后于黑客技术的发展，部署方式也为黑客所熟知，可以被黑客有针对性地逐一突破，已经难以满足数据安全保障的基本需求。

　　最好的防御就是进攻，网络安全领域就是如此，网络安全事件的生命周期包括渗透、控制、窃取三个基本阶段。渗透阶段包括信息搜集与用户攻击，攻击者明确攻击对象，利用社会工程实施渗透攻击。控制阶段包括主机控制与内网控制，攻击者通过权限提升和控制木马实现对本地主机和内网存放敏感信息的重要服务器（如邮件服务器）的控制。窃取阶段包括信息挖掘和数据外传，攻击者为确保获取最有价值的数据不断搜索和分析，并将敏感的重要数据回传。

　　为此，可以通过研究黑客的攻击方法和技术手段，采用“预设打击”的理念对不同攻击阶段进行反渗透、反控制、反窃取，对在黑客攻击的不同阶段进行全程对抗，对不同攻击行为进行全时覆盖、全域监测、全源感知，实现对安全事件的全生命周期检测，并通过与传统安全应急响应服务和安全阻断防护系统的联动实现对安全事件的处置。

　　对渗透阶段的检测，对涉及用户的各种外部数据入口实施检测，对攻击者可能采用的攻击通道、攻击载体和攻击载荷进行检测。

　　对控制阶段的检测，对攻击者控制主机和控制内网的过程进行检测，发现攻击者实施的木马控制、权限提升、内网拓展等控制行为。

　　对窃取阶段的检测，对非正常搜集数据和回传数据的过程进行检测，发现攻击者访问内部网络敏感数据存储部位、挖掘内部网络敏感信息和非法传输敏感数据至外部的行为。

　　全时覆盖，针对攻击者在不同阶段的手法、行为和数据特点采用针对性的检测手段，与攻击者进行全程对抗。全域监测，将检测手段覆盖所有计算节点和通信节点，实现一点触发，全域联动。全源感知，综合分析网络通信、用户行为、文件流等各类信息源，实现对网络内已知或未知威胁的感知。

　　结语

　　云计算和大数据为企业利用信息技术实现跨越式发展提供了宝贵机遇，但也为企业信息资产安全带来了巨大挑战。通过科学的数据安全解决方案和有效的信息安全管理，我们可以防止大多数的安全事故，即便有来自外部的攻击，也有能力及时发现和响应，切不可疏于防范，导致追悔莫及。

　　文/胡逸漪，朴石

关注读览天下微信， 100万篇深度好文， 等你来看……