人是安全管理中最大的安全隱患。不記得這句話從哪里看到的了。不過我們經(jīng)常會看到類似于從一個司機(jī)郵箱滲透到企業(yè)重要系統(tǒng)的案例，越來越熱的apt攻擊也選擇人作為突破口。比如針對Google的極光攻擊就是因為一個員工點擊了聊天消息的鏈接從而導(dǎo)致被滲透的。

所以當(dāng)防火墻配置恰當(dāng)，數(shù)據(jù)已經(jīng)加密，防病毒升級到最新，所有的措施都安排妥當(dāng)之后，不要忘記人也是一個很大的風(fēng)險來源。本文會先介紹企業(yè)員工可能導(dǎo)致的安全風(fēng)險以及常用的防御方法。最后會從SIEM的角度嘗試一種可能的解決方案。

風(fēng)險類型

社會工程學(xué)

這個大家都很熟悉了。釣魚，社工庫，丟優(yōu)盤，送路由之類的。利用人性的一些特點來實現(xiàn)攻擊。比如某大牛曾經(jīng)說過隨便挑一個下午去濱江阿里巴巴園區(qū)的星巴克坐著，就能黑掉網(wǎng)易。

緩解的方法通常就是進(jìn)行用戶安全意識培訓(xùn)，尤其通過一些實例，比如模擬釣魚，然后公開釣魚的成果，這樣用戶印象會比較深刻。下次遇到類似的情況就會考慮多一些。

用戶的密碼

首先是弱密碼，盡管可能有各種防止弱密碼的策略。但是工作中首先考慮的是更好更快的完成工作。所以弱密碼還是很常見的。此外還可能有很多別的途徑可能泄露了密碼，像工作中臨時提供給需要的第三方?jīng)]有及時修改等等。降低風(fēng)險的方式就是實行嚴(yán)格的密碼設(shè)置策略。不過包含數(shù)字字母符號的密碼可能依然是字典里存在的弱密碼。

用戶資產(chǎn)存在漏洞

大公司可能會對所有的辦公電腦統(tǒng)一管理，按時升級各種補(bǔ)丁。但是現(xiàn)在有越來越多的設(shè)備類型，筆記本，手機(jī)，平板等都可能在工作中用到。而這些設(shè)備是否存在漏洞，是否安裝補(bǔ)丁是用戶自己負(fù)責(zé)的。辦公電腦上用戶自己安裝的第三方軟件，比如瀏覽器等等可能也沒有統(tǒng)一的補(bǔ)丁升級策略。降低風(fēng)險的方法可以通過定期的漏洞掃描來降低風(fēng)險。

使用各種云服務(wù)

云服務(wù)的應(yīng)用越來越廣泛，就拿網(wǎng)盤來說，大家都在用。假如把公司的資料放在網(wǎng)盤上是否存在風(fēng)險呢。如果一些大的網(wǎng)盤提供商被入侵或是數(shù)據(jù)泄露，那么后果是不堪設(shè)想的。其實敏感資料放在第三方之后，就已經(jīng)不是自己可控的了。降低風(fēng)險的方法可以培訓(xùn)用戶安全意識，盡量選擇靠譜的大公司的服務(wù)，一些非常重要的資料不要放到第三方那里。

移動設(shè)備

移動互聯(lián)網(wǎng)今天已經(jīng)如此火爆了。手機(jī)中通常也會有工作的資料，比如手機(jī)登陸了工作郵箱，手機(jī)聯(lián)系人，甚至郵箱密碼等。不僅僅是丟手機(jī)，把手機(jī)借給別人會導(dǎo)致信息泄露?，F(xiàn)在手機(jī)更新?lián)Q代都很快，據(jù)調(diào)查eBay上賣的二手手機(jī)，依然保存有私人數(shù)據(jù)的比例超過50%?？紤]到數(shù)據(jù)恢復(fù)技術(shù)，這種風(fēng)險可能更大。不知道taobao上的這個比例能有多少。前面提到過，手機(jī)其實很少有定期打補(bǔ)丁。所以惡意APP導(dǎo)致信息泄露的風(fēng)險也很高。因為這個是用戶自己控制的設(shè)備。所以我能想到的降低風(fēng)險方法可能就是所謂的制定安全策略，進(jìn)行安全意識培訓(xùn)。

解決方案的探討

從SIEM的角度來說可以進(jìn)行用戶活動監(jiān)控，管控風(fēng)險。SIEM簡單來說就是收集環(huán)境內(nèi)的各種設(shè)備和應(yīng)用的安全事件，進(jìn)行統(tǒng)一解析和關(guān)聯(lián)分析從而進(jìn)行風(fēng)險管理和告警的產(chǎn)品。

用戶活動監(jiān)控的概念其實我們都很常用。就是QQ賬號異地登陸會有風(fēng)險提示或者高危操作會鎖定賬號。把這個概念擴(kuò)展到用戶登陸公司郵箱，登陸服務(wù)器等等賬號的活動。下面通過兩個場景看一下這個解決方案的思想。

場景一：社工郵箱密碼

攻擊者先用awvs掃描公司主頁，一番嘗試沒有發(fā)現(xiàn)可以利用的漏洞。然后通過whois查詢到網(wǎng)站管理員的工作郵箱。通過一些簡單社工和查詢社工庫獲得了該管理員的常用密碼，很不幸的是這個常用密碼恰好也是管理員工作郵箱的密碼。所以攻擊者順利登陸了管理員的郵箱。那么這個過程中，SIEM看到的是什么過程呢。首先awvs掃描網(wǎng)站，siem獲取到這些網(wǎng)站日志之后，認(rèn)為這個來源ip在進(jìn)行嘗試攻擊的行為，會把這個ip加入一個黑名單當(dāng)中。當(dāng)攻擊者登陸郵箱的時候，這時候是從一個黑名單IP登陸了高級別的管理員郵箱(可以對不同人員的賬號進(jìn)行風(fēng)險評級，就跟對資產(chǎn)進(jìn)行分級一樣)。系統(tǒng)會發(fā)出告警。甚至可以臨時禁用這個郵箱賬號。

場景二：控制員工筆記本獲取到敏感信息

公司員工由于在社交網(wǎng)站上點擊了一個鏈接導(dǎo)致個人筆記本被控制。攻擊者在筆記本上發(fā)現(xiàn)了一個公司服務(wù)器的ssh賬號。那么攻擊者在登陸服務(wù)器的時候SIEM可以做些什么呢。ssh登陸服務(wù)器，一般都是在公司內(nèi)，也就是用內(nèi)網(wǎng)地址登陸的。所以SIEM可以內(nèi)置登陸ip的白名單。根據(jù)公司的工作習(xí)慣，可以設(shè)置登陸時間一般是早九點到晚九點。那么當(dāng)攻擊者登陸服務(wù)器的時候，如果沒有用員工電腦做跳板，直接登陸的話。SIEM會看到一個別的地區(qū)的ip(比如美國)登陸了我們的服務(wù)器，會產(chǎn)生告警事件。如果攻擊者為了隱蔽，選擇在夜深人靜的午夜登陸服務(wù)器，那么剛好觸發(fā)了在非正常時間登陸的策略，也會產(chǎn)生告警。

由于種種原因，不恰當(dāng)?shù)牡胤竭€請大家多多指正。