信息來源:比特網(wǎng)
知名黑客組織發(fā)起攻擊�����、重要系統(tǒng)曝出漏洞��,諸如此類的新聞不斷見諸報端�,這讓我們很容易認為�,威脅都主要來自企業(yè)外部。但是現(xiàn)實卻很殘酷:超過一半的攻擊都是源自內(nèi)部人員蓄意或無意的行為����。
2016年11月,綿陽警方破獲了一起重大侵犯公民個人案件:包括銀行管理層在內(nèi)的15名犯罪分子,大肆出售公民的銀行個人信息���,涉案資金達230萬元;其源頭為遼寧某市中信銀行工作人員�,利用查詢賬號登錄銀行內(nèi)網(wǎng)�,在短時間內(nèi)大肆獲取公民個人征信報告50余萬份,并進行出售獲利�����。無獨有偶��,2017年3月����,央視報道,某電商巨頭發(fā)生嚴重泄露事件����,涉及近50億條公民信息。經(jīng)調(diào)查���,此事件是由于安全部前試用期員工監(jiān)守自盜�,為黑客提供重要信息����。
此外��,外部攻擊人員還會通過各種釣魚或者社工方式���,盜取企業(yè)內(nèi)部的合法身份���,從而可以得以完全訪問高端敏感的數(shù)據(jù)��。
安全專家指出��,由于訪問者的盜竊和疏忽大意�����,導致政企的業(yè)務(wù)中斷���、數(shù)據(jù)泄露,甚至財務(wù)損失的安全問題�,已經(jīng)成為政企面臨的重大隱患。這些被統(tǒng)稱為“業(yè)務(wù)安全”的問題已成為安全專家與用戶關(guān)注的熱點��。
“燈下黑”致業(yè)務(wù)安全事件頻發(fā)
長期以來�,由于政企用戶主要關(guān)注防護外部人員的入侵,重視“邊界”防護,對內(nèi)部業(yè)務(wù)系統(tǒng)的安全防護往往比較忽視��。
另外�,由于業(yè)務(wù)系統(tǒng)的開發(fā)多由業(yè)務(wù)人員主導,對安全問題不夠重視�,對于業(yè)務(wù)系統(tǒng)的管理,有制度文檔�,但很少落實到技術(shù)手段,只能靠應(yīng)用自身的認證����、權(quán)限系統(tǒng),以及本地日志��。
因此��,對于政企內(nèi)部的不同業(yè)務(wù)體系��,管理人員往往缺乏所需的信息����,無法查看內(nèi)部人員是否濫用了訪問權(quán)限——幾乎不可能知道他們是否訪問了特別敏感的數(shù)據(jù),或者對這些數(shù)據(jù)做了什么手腳�����。對這些合法訪問權(quán)限的“異常”操作��,無法及時發(fā)現(xiàn)與制止���,這就在安全監(jiān)控方面留下巨大的盲點���。
這種燈下黑現(xiàn)象給全球政企機構(gòu)帶來巨大的安全隱患: 前文提到的綿陽警方破獲的中信銀行工作人員大量竊取儲戶個人信息;2015年,中航信員工利用系統(tǒng)賬號非法獲取和出售山東航空公司旅客信息;以及美國中央情報局(CIA)大量機密文件通過承包商被外泄��,規(guī)模遠超當年斯諾登泄露的情報��。繼2013年斯諾登事件之后��,美國安全部門再次出現(xiàn)因內(nèi)部人員造成的泄密事件�����。這些事件均系內(nèi)部人員合法訪問導致的安全事件�。
業(yè)務(wù)安全專家�、360企業(yè)安全集團副總裁梁志勇表示,在與用戶交流時��,很多用戶表示對業(yè)務(wù)安全的重視程度日益增加�����。甚至有用戶還專門成立了信息應(yīng)用安全監(jiān)管中心,負責業(yè)務(wù)系統(tǒng)使用的規(guī)范�����?!皹I(yè)務(wù)敏感信息的泄露會造成較壞的社會影響?��!?/span>
梁志勇認為�,對于政企用戶來說�,維護業(yè)務(wù)安全,要特別注意防范特權(quán)用戶�����、供應(yīng)商�����,以及普通員工三類人的“異?����!毙袨椤?/span>
從IT到業(yè)務(wù) 安全熱點的變化
針對大量數(shù)據(jù)泄露事件發(fā)生在“內(nèi)網(wǎng)”���、由內(nèi)部人所為的現(xiàn)象��,梁志勇建議政企用戶將關(guān)注重點從IT系統(tǒng)轉(zhuǎn)移到業(yè)務(wù)應(yīng)用上�����。
事實上���,在作為安全行業(yè)風向標的RSA大會上,從“IT”驅(qū)動的安全轉(zhuǎn)向“業(yè)務(wù)”驅(qū)動的安全已被視為成為行業(yè)趨勢��。在整個社會都在經(jīng)歷數(shù)字化轉(zhuǎn)型之際��,安全成為企業(yè)業(yè)務(wù)數(shù)字轉(zhuǎn)型的關(guān)鍵�。安全不再被視為技術(shù)問題���,而是業(yè)務(wù)與風險問題��。
梁志勇建議政企用戶將關(guān)注重點從IT系統(tǒng)轉(zhuǎn)移到業(yè)務(wù)應(yīng)用
中國計算機學會安全專業(yè)委員會主任嚴明對此趨勢表示認同�,他說:“隨著企業(yè)數(shù)字化的轉(zhuǎn)變�,安全問題與業(yè)務(wù)關(guān)聯(lián)越來越緊密���,企業(yè)安全問題的社會影響將益發(fā)顯著。
梁志勇介紹認為���,關(guān)注業(yè)務(wù)安全有助于為管理人員提供至關(guān)重要的信息���,以便深入了解用戶的行為:用戶是不是一再訪問特定數(shù)據(jù)?持續(xù)了多久�?他們對這些數(shù)據(jù)做什么手腳?這是不是符合正常行為�����?
據(jù)梁志勇介紹��,360企業(yè)安全將會在近期發(fā)布針對業(yè)務(wù)安全的解決方案���,可以一站式管理內(nèi)部的所有業(yè)務(wù)系統(tǒng)���,修補應(yīng)用系統(tǒng)開發(fā)過程中忽視的安全問題,確保等保及各類規(guī)章制度得到有效遵循;此外���,還能及時發(fā)現(xiàn)和制止各類“高?���!薄ⅰ爱惓�!钡牟僮餍袨椋婪稊?shù)據(jù)泄露等可能的風險�。
