企業(yè)信息安全面臨的威脅

今天，企業(yè)生產(chǎn)活動越來越依賴于信息系統(tǒng)，企業(yè)的發(fā)展壯大也需要信息系統(tǒng)的助力，因此，信息系統(tǒng)的安全保障正變的越來越重要。

當(dāng)前，對于企業(yè)信息系統(tǒng)的威脅呈現(xiàn)立體化，縱深化，職業(yè)化的特點(diǎn)。對企業(yè)信息系統(tǒng)的攻擊不再局限于簡單的病毒傳播或是粗暴的DDoS^[注2]，而是包含了由內(nèi)網(wǎng)滲透，內(nèi)網(wǎng)漫游，數(shù)據(jù)竊取，系統(tǒng)破壞等一系列攻擊方式組成的高級持續(xù)攻擊（APT^[注1]）。攻擊的組織也從無組織的個人發(fā)展為有組織，有產(chǎn)業(yè)鏈的團(tuán)隊(duì)，甚至是軍隊(duì)。

這些更為精巧的攻擊，可以直接影響企業(yè)的生產(chǎn)活動，甚至造成機(jī)密數(shù)據(jù)外泄，破壞生產(chǎn)系統(tǒng)，給企業(yè)帶來更大的損失。

索尼影業(yè)黑客入侵事件

在發(fā)生于2014年11月24日的一場黑客攻擊事件中，黑客組織“和平衛(wèi)士”（Guardians of Peace）公布了索尼影業(yè)員工電郵，涉及公司高管薪酬和索尼非發(fā)行電影拷貝等內(nèi)容。

由于索尼網(wǎng)絡(luò)存在簡單密碼，黑客組織通過猜測密碼進(jìn)入SONY內(nèi)部網(wǎng)絡(luò)。黑客組織包含有一名SONY曾經(jīng)的雇員。這導(dǎo)致該組織對SONY內(nèi)部網(wǎng)站結(jié)構(gòu)非常熟悉。他們在SONY的內(nèi)部網(wǎng)絡(luò)里一個網(wǎng)段一個網(wǎng)段的掃描，尋找可以入侵的重要主機(jī)。在發(fā)現(xiàn)重要主機(jī)后，透過SMB蠕蟲^[注6]去猜測密碼，并植入數(shù)據(jù)竊取木馬和邏輯炸彈。木馬程序?qū)⒅鳈C(jī)中的重要數(shù)據(jù)回傳到遠(yuǎn)端的一個USB存儲設(shè)備上。在這個過程中，黑客組織不斷變換代理服務(wù)器，以避免被監(jiān)視設(shè)備發(fā)現(xiàn)。在數(shù)據(jù)傳輸完成后，黑客組織向SONY發(fā)出了威脅通告。在SONY拒絕了黑客組織的要求后，該黑客組積利用事先植入的邏輯炸彈將郵件服務(wù)器破壞，使SONY內(nèi)部郵件系統(tǒng)停止運(yùn)轉(zhuǎn)。

事件發(fā)生的當(dāng)天，SONY集團(tuán)股價(jià)在5天內(nèi)下跌10%，公司市值減少100多億元。在入侵事件發(fā)生后的2015年，維基解密^[注4]公布了黑客獲取到的數(shù)據(jù)，包含有30287份索尼影視美國公司的文件和173132封電子郵件。

由于這些數(shù)據(jù)曝光了索尼影視高管艾米·帕斯卡（Amy Pascal）發(fā)送的郵件包含了關(guān)于總統(tǒng)奧巴馬的種族敏感話題，艾米被迫辭職。

這一事件向世人清楚的展示了新時(shí)代下，黑客組織如何有計(jì)劃，有目的的對企業(yè)組織進(jìn)行破壞。其技術(shù)之精細(xì)，實(shí)施的時(shí)間跨度之大，都已經(jīng)不是上個世紀(jì)黑客嬉皮士們所能相比的，對企業(yè)造成的打擊也極為沉重。

信息安全建設(shè)的核心需求

新時(shí)代下，信息安全局面的新變化，推動企業(yè)更為積極的進(jìn)行信息安全建設(shè)。

有明確的目標(biāo)，才能有明確的實(shí)施計(jì)劃。進(jìn)行信息系統(tǒng)安全建設(shè)的第一步，是要明確我們的需求。通常來說，信息安全建設(shè)的核心需求是：快速檢測，約束影響，快速定位，快速恢復(fù)。

在攻防技術(shù)對抗方面，防守方總是處于劣勢的。因?yàn)椋朗胤矫鎸Φ囊粋€全面的信息系統(tǒng)。而進(jìn)攻只要能找到一個入口就能突破進(jìn)來。因?yàn)?，防守一方不能幻想著把所有的攻擊都阻擋在企業(yè)信息系統(tǒng)的外面，我們要接受進(jìn)攻者能突破進(jìn)來的這個事實(shí)，而把力量和資源放在檢測能力加強(qiáng)的方向。做到能檢測到，可以趕出去。

在檢測到入侵之后，信息系統(tǒng)的維護(hù)人員要做到使入侵者所獲取的權(quán)限盡可能的小，獲取到的數(shù)據(jù)盡可能的少，對系統(tǒng)的破壞盡可能的減弱，把其關(guān)在一個盡可能小的“籠子”里。為檢測破壞范圍，查找漏洞，確定恢復(fù)方案爭取時(shí)間。

在漏洞定位后，建立恢復(fù)方案，并迅速實(shí)施，清理信息系統(tǒng)，恢復(fù)被破壞的信息系統(tǒng)。

企業(yè)信息安全的建設(shè)方法

為了滿足信息安全建設(shè)的核心需求，我們需要在企業(yè)信息安全建設(shè)中，集中做好三件事，第一件是建立安全基線，這是為信息系統(tǒng)的網(wǎng)絡(luò)安全打下基礎(chǔ)。第二件，是建立監(jiān)控和入侵檢測能力，特別是多維度的入侵檢測，出現(xiàn)情況時(shí)，相關(guān)人員可以得到有針對性的檢測報(bào)告。第三件，是建立災(zāi)后應(yīng)急響應(yīng)能力。讓響應(yīng)的時(shí)間成本更短，溯源和根因分析的能力更強(qiáng)。

基礎(chǔ)的安全基線

l IT資產(chǎn)統(tǒng)一管理

首先，要對IT環(huán)境中的資產(chǎn)做到記錄在冊，統(tǒng)一管理。資產(chǎn)包括硬資產(chǎn)和軟資產(chǎn)。軟資產(chǎn)不僅僅指軟件，也包括環(huán)境數(shù)據(jù)。比如，操作系統(tǒng)信息，業(yè)務(wù)系統(tǒng)信息，網(wǎng)絡(luò)環(huán)境配置參數(shù)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，域名等等。IT資產(chǎn)管理到位，才能做到安全措施不會被遺漏。否則，被遺漏的資產(chǎn)很有可能因?yàn)樽龅經(jīng)]有足夠的安全保護(hù)措施而為黑客所利用。

l 基本的補(bǔ)丁管理

有了資產(chǎn)的統(tǒng)一管理，就能夠?qū)φ麄€信息系統(tǒng)的軟件配置有清晰的判斷。進(jìn)而，可以部署補(bǔ)丁推送系統(tǒng)。比如：微軟 的SCCMM，也可以利用第三方終端管理軟件附帶的補(bǔ)丁管理功能。許多的入侵滲透都是利用的一些公布的漏洞，而這些漏洞，軟件的開發(fā)商都發(fā)布了相應(yīng)的補(bǔ)丁。做好補(bǔ)丁管理工作，絕大多數(shù)的漏洞就都會被封都住，阻止了黑客的入侵。

l 漏洞管理

中國和美國都建設(shè)有自己的漏洞發(fā)布中心和數(shù)據(jù)庫^[注7]。它們都是可以免費(fèi)訪問和使用的。一些開源的漏洞掃描軟件就是從這些數(shù)據(jù)庫中得到最新的漏洞數(shù)據(jù)。應(yīng)該使用這些開源漏洞掃描軟件對IT環(huán)境內(nèi)的主機(jī)資產(chǎn)進(jìn)行定期掃描，找到存在的漏洞，并通過補(bǔ)丁管理系統(tǒng)為其打上補(bǔ)丁。

偶爾會有重大漏洞被發(fā)布，安全管理人員應(yīng)訂閱這類的資訊，保持跟蹤。當(dāng)發(fā)現(xiàn)重大軟件漏洞被披露時(shí)，及時(shí)跟進(jìn)軟件開發(fā)商的發(fā)布平臺，下載補(bǔ)丁或?qū)嵤┮恍┡R時(shí)緩解措施。

l 基本的訪問控制

對企業(yè)信息系統(tǒng)應(yīng)該劃分不同的安全域。至少生產(chǎn)系統(tǒng)與辦公網(wǎng)絡(luò)應(yīng)該是不同的安全域和安全等級。帳號應(yīng)該統(tǒng)一管理，為不同的級別的員工設(shè)定不同的安全策略。

l 弱密碼的檢測，以及密碼的管理

大多數(shù)的入侵并不是利用高技術(shù)高價(jià)值的零日漏洞^[注3]，或是物理攻擊。而是利用內(nèi)部員工的帳號進(jìn)入的。使用弱密碼會大大降低防御能力，也能得為安全的許多努力白費(fèi)功夫。

企業(yè)網(wǎng)絡(luò)中，大部分的資產(chǎn)都被納入到帳號統(tǒng)一管理中，但總會有一些設(shè)備，例如，某個第三方的設(shè)備，無法接入企業(yè)的帳號統(tǒng)一管理系統(tǒng)中。那么，這類資產(chǎn)就存在出現(xiàn)弱密碼，甚至是無密碼的情況。

一方面，我們通過帳號統(tǒng)一管理，設(shè)定密碼的設(shè)置策略，強(qiáng)制保證受控資產(chǎn)新設(shè)置的密碼符合強(qiáng)度要求。另一方面，建立密碼掃描系統(tǒng)^注]，定時(shí)掃描系統(tǒng)里是否存在有弱密碼的情況。

監(jiān)控和入侵檢測能力

監(jiān)控能力是對公司生產(chǎn)及辦公網(wǎng)絡(luò)中各種資產(chǎn)和行為進(jìn)行記錄的能力。對于高危的行為可以進(jìn)行阻斷和告警。

監(jiān)控能力越強(qiáng)，在出現(xiàn)了入侵行為后，就能夠追本溯源，并可以精確的確定入侵行為的影響范圍和受損資產(chǎn)。反之，如果監(jiān)控不足，我們既不能找到入侵行為的源頭，也不知道入侵影響的范圍。就無法針對性的進(jìn)行內(nèi)部網(wǎng)絡(luò)進(jìn)行清理。入侵就成為了揮之不去的隱患。

入侵檢測可以在多種維度同時(shí)進(jìn)行，包括網(wǎng)絡(luò)流量，或是基于業(yè)務(wù)系統(tǒng)，在主機(jī)側(cè)實(shí)行，甚至在移動設(shè)備上進(jìn)行。不過，對于非IT企業(yè)，并不需要建設(shè)如此縱深的檢測系統(tǒng)。

通常來說，我們只需要對關(guān)鍵域采用IDS設(shè)備進(jìn)行網(wǎng)絡(luò)流量檢測，以及采用郵件網(wǎng)關(guān)對容易被入侵者利用的郵件系統(tǒng)進(jìn)行內(nèi)容掃描，以及在辦公域的主機(jī)上部署殺毒軟件，就可以了。

應(yīng)急響應(yīng)

安全應(yīng)急響應(yīng)是指企業(yè)在遇到突發(fā)安全事件后所采取的活動。安全事件則是指影響企業(yè)內(nèi)部信息系統(tǒng)正常工作的情況，例如信息竊取、黑客入侵、網(wǎng)絡(luò)流量異常、DDoS等。應(yīng)急響應(yīng)的目標(biāo)是以最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來的影響。

應(yīng)急響應(yīng)首先應(yīng)該明確責(zé)任人。通常企業(yè)應(yīng)該成立一個網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組（簡稱CERT）。通常這個小組的成員數(shù)量不會多。不過，如果企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)復(fù)雜的話，還應(yīng)該準(zhǔn)備各個系統(tǒng)的相關(guān)專家的聯(lián)系方式。

應(yīng)急響應(yīng)的執(zhí)行方案應(yīng)該遵守PDCERF模型。簡單說來就是一系列的步驟：

P是指準(zhǔn)備(Preparation)。CERT應(yīng)該為可能發(fā)生的應(yīng)急響應(yīng)事件準(zhǔn)備好相當(dāng)?shù)臄?shù)據(jù)和軟硬件工具。

數(shù)據(jù)包含各個業(yè)務(wù)系統(tǒng)的初始配置數(shù)據(jù)，配置手冊，網(wǎng)絡(luò)結(jié)構(gòu)圖，IP地址表等等。

軟件工具包含各種設(shè)備配置程序，清理程序，終端程序，遠(yuǎn)程控制程序等等。

D是指診斷（Decttion）。在連接到現(xiàn)場，得到初步信息或是更深度的數(shù)據(jù)后，可以開始診斷發(fā)生了什么類型的問題。是網(wǎng)絡(luò)問題，還是業(yè)務(wù)系統(tǒng)配置有誤，還是病毒爆發(fā)，還是有入侵者進(jìn)行了破壞。這是這個階段需要進(jìn)行判斷的。這個階段并不要求立刻找到根本原因和源頭，甚至，只需要做出一個基本面的判斷即可。

C是指抑制（Containment）。首先應(yīng)該是抑制受害范圍，隔離使用受害面不繼續(xù)擴(kuò)大，再追求根治，而不是一邊任其蔓延，一邊去查各種系統(tǒng)數(shù)據(jù)，執(zhí)行各類掃描工具，到頭來當(dāng)清楚一臺，或數(shù)臺機(jī)器的情況后，病毒或是入侵者又破壞了其它的系統(tǒng)。這就是為什么在上一步的診斷階段里，我們只需要做出初步的判斷（當(dāng)然，如果可以一眼就看出源頭，這是最好的結(jié)果。），指導(dǎo)抑制階段的工作。目標(biāo)是快速的恢復(fù)系統(tǒng)，降低事件的影響。

E是指根除（Eradication）。這是我們熟悉的一個階段。這個階段的時(shí)間比較充分。CERT也可以調(diào)動更多的資源，找到事件的起始肇因。

R是指恢復(fù)（Recovery）。把業(yè)務(wù)恢復(fù)至正常水平。隔離區(qū)也可以在清除后，接入業(yè)務(wù)網(wǎng)絡(luò)。被破壞的數(shù)據(jù)，程序也都被恢復(fù)。對于不可逆的損失，可以記錄下來，用于下一階段的復(fù)盤。

F是指跟蹤（follow-up）。監(jiān)控有無異常，整理各類，各系統(tǒng)的報(bào)告，提出自省和改進(jìn)措施，對安全運(yùn)營持續(xù)改進(jìn)。

a.png

圖1 PDCERF模型

建設(shè)過程

雖然我們知道要集中辦好三件事，但羅馬不是一天就可以建成的。信息安全建設(shè)也是一步步完成的。

在從0到1的起步階段，首先要做的是基礎(chǔ)安全策略的實(shí)施，這部分雖然看起來沒有太多的高新技術(shù)，但卻是ROI^[注5]最高的部分。這一步不需要高投入就可以解決大多數(shù)的安全問題。即使沒有太多的安全預(yù)算，對于企業(yè)至少完成這一步，可以避免很多的安全威脅。

第二步，是建設(shè)監(jiān)控和入侵檢測能力。一般來說，購買商業(yè)解決方案可以解決這一步的需求。同時(shí)，在這步的實(shí)施中， 不僅僅是增加了一些IT設(shè)備，同時(shí)，也要建設(shè)技術(shù)團(tuán)隊(duì)，以支持安全系統(tǒng)的運(yùn)行。建設(shè)安全流程，安全檢查規(guī)范。使購買的設(shè)備發(fā)揮作用，也為應(yīng)急響應(yīng)的實(shí)施做好技術(shù)和人員的準(zhǔn)備工作。

第三步，就是應(yīng)急響應(yīng)能力。應(yīng)急響應(yīng)沒有一個固定的模板，不同的企業(yè)有不同的要求。但總的要求是快和準(zhǔn)。應(yīng)急響應(yīng)要明確責(zé)任人，和處理流程。流程即不能冗長，也不能太靈活。太長了，就無法快速響應(yīng)，太靈活了，處理人在響應(yīng)過程隨意發(fā)揮，容易小事變大事。

應(yīng)急響應(yīng)能力是一個需要不斷迭代進(jìn)化的過程。做好處理紀(jì)錄，經(jīng)常復(fù)盤和演示，總結(jié)最佳實(shí)踐，是非常必要的。

信息安全是一個沒有硝煙，永不結(jié)束的戰(zhàn)爭

只要有人就有江湖，只要有利益就有戰(zhàn)爭。黑客一直是信息戰(zhàn)爭的主角。只要利益的存在，黑客就不會退出江湖。信息安全是一個需要長期建設(shè)，不斷投入的工程。不存在一勞永逸的解決方案。

技術(shù)的進(jìn)步，計(jì)算環(huán)境的更迭，組織結(jié)構(gòu)的變化，企業(yè)業(yè)務(wù)的調(diào)整，都會對企業(yè)信息安全體系產(chǎn)生影響。

企業(yè)信息安全系統(tǒng)的團(tuán)隊(duì)需要不斷的更新自己的知識，密切關(guān)注信息系統(tǒng)的運(yùn)行，保護(hù)企業(yè)的信息系統(tǒng)的正常運(yùn)行。

注：

1. APT

高級長期威脅，Advanced Persistent Threat，縮寫為APT

2. DDoS

分布式拒絕服務(wù)攻擊（distributed denial-of-service attack，縮寫：DDoS attack、DDoS）亦稱分布式洪水攻擊，是一種網(wǎng)絡(luò)攻擊手法，其目的在于使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使服務(wù)暫時(shí)中斷或停止，導(dǎo)致其正常用戶無法訪問。

3. 零日漏洞

零日漏洞或零時(shí)差漏洞（英語：Zero-day exploit）通常是指還沒有補(bǔ)丁的安全漏洞，而零日攻擊或零時(shí)差攻擊（英語：Zero-day attack）則是指利用這種漏洞進(jìn)行的攻擊。

4. 維基解密

維基解密（又稱維基揭密或維基泄密；英語：WikiLeaks），是透過協(xié)助知情人[6][7][8]讓組織[9]、企業(yè)[10]、政府[11]在陽光下運(yùn)作的、無國界非盈利的互聯(lián)網(wǎng)媒體。

5. ROI

投資回報(bào)率(Return On Investment，ROI)投資回報(bào)率（ROI）是指通過投資而應(yīng)返回的價(jià)值，企業(yè)從一項(xiàng)投資性商業(yè)活動的投資中得到的經(jīng)濟(jì)回報(bào)。

6. SMB蠕蟲

計(jì)算機(jī)蠕蟲與計(jì)算機(jī)病毒相似，是一種能夠自我復(fù)制的計(jì)算機(jī)程序。與計(jì)算機(jī)病毒不同的是，計(jì)算機(jī)蠕蟲不需要附在別的程序內(nèi)，可能不用使用者介入操作也能自我復(fù)制或執(zhí)行。計(jì)算機(jī)蠕蟲未必會直接破壞被感染的系統(tǒng)，卻幾乎都對網(wǎng)絡(luò)有害。SMB蠕蟲是指利用SMB網(wǎng)絡(luò)協(xié)議進(jìn)行傳播的計(jì)算機(jī)蠕蟲。

7. 漏洞數(shù)據(jù)庫

https://cve.mitre.org/ MITRE

http://www.cnnvd.org.cn/ 中國國家信息安全漏洞庫