微盟“删库”事件反思:是时候衡量自己的安全状况,防患于未然了!互联网行业敲响了警钟。2月23日晚,微盟研发中心运维部核心运维人员竟然通过个人VPN进入公司内网跳板,直接导致集团大型服务器集群无法响应,生产环境数据严重受损,集团市值一天蒸发10亿多。虽然微盟数据已全部找回,但“删库”事件的影响仍在继续。对微盟“删库”事件的反思:企业需主动衡量自身安全态势,防御内外部风险。存在明显不足、安全监控制度落实不到位等问题。事实上,受当前疫情影响,开启远程办公模式的不仅仅是微盟,也不是唯一可以通过个人VPN访问公司内网的员工,面临安全风险的也不仅仅是微盟。目前,数千家企业的员工在线远程办公,其中不少企业发生了运算资源扩容、新应用系统上线、新业务迁移、安全工具配置调整等运营变革。包括图书馆在内的各种内外部安全风险”。因此,企业是时候问问自己了:当你的员工通过VPN访问内网时,办公环境是否被划分为逻辑上隔离的远程访问安全域?你的安全设备是否可以访问远程访问员工的权限?限制?是否存在错误配置,外部黑客或别有用心的内部员工的漏洞利用......如果答案是否定的,如果你不想成为下一个微盟,那么不用多说,采取一个有效审视你的企业安全态势并对其进行评估,尽快全面检测可能存在的内外部风险,识别真正的安全风险,然后选择相应的安全措施进行应对,增强防御能力。主动安全态势测量值得你思考的解决方案但是,在这个疫情的特殊时期,对于很多企业来说,af受人力和技术的影响,可能无法立即制定出能够摸清自己安全态势方案的解决方案。这时候选择第三方安全技术作为支持并不是一个好的方式。毕竟,安全隐患不等人,它就在你身边眼巴巴地注视着你。因此,此类企业可能会选择借助第三方的帮助,对自身的安全态势进行全面的检测和评估,快速实现对自身安全态势的衡量。在这里,我想与大家分享一个典型的主动测量安全态势的解决方案——是德科技入侵和攻击仿真(BAS)解决方案。不谈程序的具体框架,先来看看它是如何工作的。与微盟遇到的内部威胁类似,BAS方案可以模拟员工通过VPN进入企业内网,并尝试横向扩展到服务器,进而尝试操作重要数据。如果他们能够访问服务器并尝试操作,则认为存在安全风险,并提供修复建议,例如开启防火墙策略,限制用户访问范围,防止他们直接访问数据库。不仅如此,BAS解决方案应对APT攻击等复杂高级威胁也不在话下。首先,BAS会自动模拟攻击链条的完整过程,通过观察攻击后会发生什么来判断企业可能存在的内外部风险。完整的攻击链包括:钓鱼攻击、用户行为、恶意软件传播、感染、指挥控制、横向移动、数据窃取。由于各环节的攻击模拟和风险评估大致相同,我们仅以钓鱼攻击环节为例,看看BAS方案是如何工作的。黑客使用网络钓鱼攻击诱骗受害者点击指向恶意网站或攻击负载的恶意链接。BAS假设有人会打开电子邮件并模拟点击链接的行为。基于这个前提,再看后续的保护行为。在模拟过程中,BAS将观察是否触发了任何安全控制,无论是入侵防御系统、反钓鱼电子邮件系统还是防火墙。如果未触发安全控制,则可以确定存在风险。随后,BAS将提供有关安全状况的指标。BAS会通过不同环节的具体指标,给出修复建议,反馈哪些安全工具需要启用哪些安全防护功能,从而优化工具,加强网络防御。同时,由于模拟了攻击者的整个攻击链,包括检测到数据窃取,安全人员的风险恢复工作变得更加容易。综上所述,BAS解决方案可以帮助企业持续衡量自身的安全态势,在不增加安全支出的情况下降低内外部风险,同时在当前安全防护范围内发现现有产品无法阻挡的攻击。其架构如下图所示。它是一个基于云的平台,供企业用户通过SaaS使用。按照检测评估、风险识别、推荐优化三个步骤,帮助企业衡量数据中心、公有云、私有云和混合网络的安全态势。是德科技BAS解决方案架构图该解决方案主要包括三个核心组件:基于WEB的友好页面、“乌云”实体和部署在企业内网的轻量级代理。其中,“乌云”实体根据需要模拟不同的威胁角色,如:恶意网站、外部黑客、C&C服务器等。部署在企业内网的代理以Docker容器的形式运行,作为模拟网络内部的“目标”或“攻击者”,从而实现从内到外、从外到内、内部横向移动的攻击场景。此外,为了帮助用户抵御新的风险,是德科技应用和威胁情报研究团队的研究成果会定期更新到BAS解决方案中,确保可以模拟新的黑客手段和漏洞攻击。后记微盟“人祸”引发的“删帖”事件值得各行各业企业深思,尤其是在疫情特殊时期。企业应对内外部安全风险有洞察力,可以通过自动化的方法持续测量安全态势,高效及时地了解风险何时发生、发生了什么变化,从而提出解决风险的有效建议。【原创稿件,合作网站转载请注明原作者和出处为.com】
