【51CTO.com譯自Roger A. Grimes的博客】前些年，電腦間諜案還沒有現(xiàn)在這樣猖獗，我大概每年只會碰到一兩個案件。大約三四年前惡意軟件開始走向?qū)I(yè)化后，間諜案的發(fā)案頻率開始迅速上升。今天，計算機間諜和惡意軟件已經(jīng)攜手并進。

但更令我驚訝的是，許多企業(yè)并沒有意識到如今木馬和蠕蟲的嚴重性，它們已經(jīng)給太多的公司造成了嚴重的經(jīng)濟損失。最近我在很短的時間里處理了五起間諜案。這些完全不同的案例充分說明了當前的企業(yè)在面對間諜攻擊面前的蒼白和荒謬。

間諜攻擊就在你身邊！

第一個是最簡單的——典型的公司內(nèi)部數(shù)據(jù)盜取。某位大酒店的高級副總裁在完整下載客戶列表與高級數(shù)據(jù)庫時被抓獲，他打算把這一信息帶到新的公司，在那里他被任命為CEO。

這個高級副總裁能被逮住幾乎完全是運氣在幫忙。憑借高管身份，他經(jīng)常能夠以需要第三方處理為由而得到大量數(shù)據(jù)，這通常不會受到懷疑。但是這一次，他并沒有通過正常渠道，而是直接找到負責數(shù)據(jù)庫的IT員工，并匆忙地要求把“一切數(shù)據(jù)”提取出來。警覺的數(shù)據(jù)庫管理員把他的可疑行為報告了老板，于是整個計劃被揭開。

第二個案子是一個外包項目的電話營銷員。她被抓獲使用客戶信用卡資料購買電腦設(shè)備，供個人使用和轉(zhuǎn)售。這個小偷是特別愚蠢的，因為她把所有的不義之財?shù)氖肇浀囟继顚懥苏嬲募彝プ≈?。當被抓獲時，她交出了一張DVD，那里裝有公司的整個SQL數(shù)據(jù)庫，一共有200多萬個信用卡號碼和完整客戶信息。

第三個間諜案是竊取競爭對手的投標信息。這次的主角是一位前雇員，離職后開辦了自己的公司。他在幾年前得知CEO的密碼，而這個密碼在幾年里從沒變過。在每一次競標中，他都會了解到前雇主的投標，所以總能以少量的優(yōu)勢壓過他們。在間諜案被破獲時，我們在CEO的桌面上發(fā)現(xiàn)了一個GoToMyPC（一種遠程桌面控制軟件）的快捷圖標。

這位CEO注意到這個GoToMyPC已經(jīng)很多年了，但他以為是企業(yè)的IT員工正常安裝的。搞笑的是，IT員工們也知道CEO安裝了它，并且在背地里好幾次談?wù)摰健麄儗EO這樣使用這種非正規(guī)的遠程訪問明目張膽繞過防火墻的濫用權(quán)力行為感到如此厭惡！

這聽起來是不是有些滑稽可笑？但通過這個我們可以了解到在今天忙碌的世界中，這樣的事可能發(fā)生在任何一家公司。這個間諜案的結(jié)果是公司失去了一半以上的合同，并被迫大批裁員。

后兩個間諜案不涉及企業(yè)競爭，但它們足以給我們帶來經(jīng)驗教訓。在51CTO.com看來，造成這樣的原因，有兩方面，首先是企業(yè)對IT系統(tǒng)的監(jiān)管力度是否足夠，這決定了企業(yè)內(nèi)部IT系統(tǒng)的可靠性；其次是企業(yè)是否有比較完善的信息等級保護制度，不能因為你是CEO就可以亂改IT系統(tǒng)，一定要有審查和保護制度，才能較好的保護企業(yè)關(guān)鍵數(shù)據(jù)。

一個是家庭糾紛。在一個涉及數(shù)百萬美元的離婚談判期間，丈夫在表面上表現(xiàn)得只知道妻子和她律師的正常信息。但他不小心提到了妻子的秘密法律文件中的一項錯誤，而妻子剛剛糾正了這個錯誤。這使她和她的律師立刻意識到丈夫一定有辦法能夠獲得律師事務(wù)所的內(nèi)部文件。他們提請了法院搜索，結(jié)果在丈夫律師的電腦里發(fā)現(xiàn)了專業(yè)的間諜軟件，遠程IP地址追查到了丈夫的新房子。

最后一個例子是純粹的卑鄙。一位在網(wǎng)上炒股的股民的家用電腦被遠程木馬控制。一天早晨，遠程攻擊者登入了網(wǎng)上交易帳戶進行了金額巨大的短線操作。結(jié)果受害者失去了賬戶中的一切，他正在試圖與網(wǎng)絡(luò)證券商溝通以挽回一點損失。此前，51CTO.com安全頻道也曾對個人網(wǎng)銀交易和數(shù)據(jù)安全方面進行了多篇報道。

所有這些事件都沒有向媒體通告，那位電話營銷員已被控以刑事訴訟，而非法競標案至今懸而未決。這些企業(yè)或個人在之前都決不相信自己會是計算機金融犯罪的受害者，但他們的確已經(jīng)蒙受了巨大的經(jīng)濟損失。

應(yīng)對間諜，IT部門必須負起責任

那么，你可以做些什么來防范計算機有關(guān)的間諜活動和數(shù)據(jù)盜竊？除了正常的桌面惡意軟件防范技術(shù)以外，還應(yīng)該考慮更多的解決方案。此前，51CTO.com安全頻道曾有相關(guān)企業(yè)數(shù)據(jù)保護方面的專題，針對企業(yè)數(shù)據(jù)隱私，里面有詳細的介紹。

第一件事是要讓管理層認識到，企業(yè)間諜活動是嚴重的威脅。對它制定前期防范計劃和后續(xù)保護行動應(yīng)該作為必不可少的一部分納入到公司的風險管理之中。

IT部門應(yīng)該盡量限制遠程訪問的方式。這種方式應(yīng)僅以維持公司需要為標準，防止使用未經(jīng)批準的解決方案。如果發(fā)現(xiàn)未經(jīng)批準的應(yīng)用程序，即使是在CEO的電腦上，IT部門也必須做出詢問。

追蹤大流量數(shù)據(jù)下載。任何非IT員工從內(nèi)部數(shù)據(jù)庫下載千兆字節(jié)的數(shù)據(jù)在大多數(shù)情況下都是不正常的。有些應(yīng)用程序可以跟蹤這種異常的操作并發(fā)出警報。使用數(shù)據(jù)泄漏保護程序可以防止有意和無意的數(shù)據(jù)泄漏，在這方面，市場領(lǐng)先的解決方案已經(jīng)越做越好。

密碼必須設(shè)置得長一些（10個或更多字符），而且要經(jīng)常改變。當一個高級員工離職時，他所知道的每項密碼必須立即改變。我仍然對很多公司正在執(zhí)行的密碼更改策略感到不可理解，它們把包袱甩到IT管理身上。通常的情況是，IT部門關(guān)閉掉密碼的歷史功能（password history），防止相同的密碼長時間重復使用并且對過期的密碼提示更改。而我認為IT部門為此花費了太多的精力，手動更改一下密碼真的那么費事嗎？

在51CTO.com看來，電腦間諜已經(jīng)不算是尖端的犯罪了。它已經(jīng)實實在在的進入到了我們的現(xiàn)實生活，任何企業(yè)或個人用戶都有可能受到它的嚴重傷害。

順便說一句，在上面的非法競標案中，犯罪者被判處了幾年的監(jiān)禁，而受害公司被判獲得數(shù)百萬美元的賠償——但這并沒有解決任何問題，因為犯罪者的公司已經(jīng)宣布破產(chǎn)沒有錢歸還。上周我在飛機的頭等艙碰巧看到了被保釋出獄的罪犯。從他的衣著和隨身的高科技裝備上看，他似乎恢復得比受害者更快。

【51CTO.com譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

原文：Countering the computer spies  作者：Roger A. Grimes

【編輯推薦】

1. 內(nèi)部泄密對企業(yè)數(shù)據(jù)安全構(gòu)成最大威脅
2. 實用數(shù)據(jù)安全：保護公司數(shù)據(jù)的另類招數(shù)
3. 步步為營:對抗間諜軟件威脅的技術(shù)與策略