【51CTO.com原創(chuàng)稿件】近日，一場曲折離奇的“刪庫跑路”事件，為互聯(lián)網(wǎng)行業(yè)敲響了警鐘。2月23日晚，微盟研發(fā)中心運(yùn)維部核心運(yùn)維人員竟然通過個人VPN進(jìn)入公司內(nèi)網(wǎng)跳板機(jī)，直接導(dǎo)致集團(tuán)大面積服務(wù)器集群無法響應(yīng)，生產(chǎn)環(huán)境及數(shù)據(jù)遭受嚴(yán)重破壞，集團(tuán)市值一天蒸發(fā)超10億。雖然微盟數(shù)據(jù)已經(jīng)全面找回，但是“刪庫”事件帶來的影響還在持續(xù)。

關(guān)于微盟“刪庫”事件的反思：企業(yè)需主動度量安全態(tài)勢抵御內(nèi)外部風(fēng)險

事發(fā)后，微盟深刻地反思和檢討了自身問題，承認(rèn)公司在數(shù)據(jù)安全管理和運(yùn)維人員權(quán)限管理上存在明顯不足，對于安全監(jiān)控體系的執(zhí)行不夠到位等等。

其實(shí)，受當(dāng)前疫情影響，不是只有微盟啟用了遠(yuǎn)程辦公模式，不是只有那位員工可以通過個人VPN進(jìn)入自家公司內(nèi)網(wǎng)，更不是只有微盟面臨安全風(fēng)險。當(dāng)前，有千千萬萬家企業(yè)的員工在線遠(yuǎn)程辦公，其中很多企業(yè)因此產(chǎn)生運(yùn)營變更行為，比如：計(jì)算資源擴(kuò)容、新應(yīng)用系統(tǒng)上線、新業(yè)務(wù)遷移和安全工具配置調(diào)整等，面臨著包含“刪庫”在內(nèi)的各種內(nèi)外部安全風(fēng)險。

因此，企業(yè)們是時候問問自己：當(dāng)你的員工通過VPN接入企業(yè)內(nèi)部網(wǎng)絡(luò)時，辦公環(huán)境是否劃分了邏輯隔離的遠(yuǎn)程接入安全域?你的安全設(shè)備是否對遠(yuǎn)程接入員工的訪問權(quán)限進(jìn)行了限制?是否存在錯誤配置，存在被外部黑客或內(nèi)部別有用心的員工所利用……

如果答案是否定的，如果你不想成為下一個微盟，那么事不宜遲，趕緊對企業(yè)安全態(tài)勢狀況進(jìn)行有效評估吧。你應(yīng)該盡快全面檢測可能面臨的內(nèi)外部風(fēng)險，識別真正的安全風(fēng)險，然后選擇相應(yīng)的安全手段來應(yīng)對，以強(qiáng)化防御能力。

一個值得你考慮的主動度量安全態(tài)勢解決方案

然而在疫情這種特殊時期，對于很多企業(yè)來說，受人力和技術(shù)的影響，可能無法做到立馬就研究出一套可以摸清自身安全態(tài)勢的解決方案。此時，選擇第三方安全技術(shù)來做支持，不可謂是個好方法，畢竟安全風(fēng)險不等人，它就在身邊虎視眈眈地盯著你。所以，這類企業(yè)不妨選擇通過第三方助力，對自身安全情況進(jìn)行全面檢測評估，快速實(shí)現(xiàn)對自身安全態(tài)勢的度量。

這里給大家分享一個比較典型的主動度量安全態(tài)勢解決方案——是德科技入侵與攻擊模擬(BAS)解決方案。先不講方案的具體框架，我們來看看它是如何工作的。

[[317868]]

類似微盟遭遇的這種內(nèi)部威脅，BAS解決方案可以模擬員工通過VPN進(jìn)入企業(yè)內(nèi)網(wǎng)，并嘗試橫向擴(kuò)展至服務(wù)器，然后嘗試操作重要數(shù)據(jù)，如果可以訪問到服務(wù)器并嘗試操作，則會認(rèn)為存在安全風(fēng)險，并提供修復(fù)建議，比如打開防火墻策略限制用戶訪問范圍，阻止其直接訪問數(shù)據(jù)庫。

不僅如此，應(yīng)對APT攻擊這種復(fù)雜的高級威脅，BAS解決方案也不在話下。首先BAS會通過自動化方式模擬攻擊鏈的完整過程，通過觀察攻擊后會發(fā)生什么，來判斷企業(yè)可能存在的內(nèi)外部風(fēng)險。一個完整的攻擊鏈包括：釣魚式攻擊、用戶行為、惡意軟件傳輸、感染、命令與控制、橫向移動以及數(shù)據(jù)竊取等多個環(huán)節(jié)。

由于每個環(huán)節(jié)的攻擊模擬與風(fēng)險評估大致相同，我們僅以釣魚攻擊環(huán)節(jié)為例來看看 BAS解決方案是怎么做的。黑客利用釣魚攻擊，目的是誘導(dǎo)受害者點(diǎn)擊定向到惡意網(wǎng)站或攻擊載荷的惡意鏈接。BAS假設(shè)一定會有人打開郵件并模擬點(diǎn)擊鏈接的行為，以此為前提，看看后續(xù)的防護(hù)行為。BAS在模擬過程中會觀察是否有安全控制被觸發(fā)，不管是入侵防護(hù)系統(tǒng)、反釣魚郵件系統(tǒng)還是防火墻，如果安全控制沒有被觸發(fā)，則可確定有風(fēng)險存在。

隨后，BAS會提供關(guān)于安全態(tài)勢的度量值，通過不同環(huán)節(jié)特定的度量值，BAS會給出修復(fù)建議，反饋哪個安全工具需要開啟哪些安全防護(hù)功能，以優(yōu)化工具并強(qiáng)化網(wǎng)絡(luò)防御。同時，由于模擬的是攻擊者整個攻擊鏈條，包括偵查到數(shù)據(jù)竊取，所以安全人員的風(fēng)險修復(fù)工作變得更容易。

綜上所述，BAS解決方案能夠幫助企業(yè)持續(xù)度量安全態(tài)勢，在不增加安全支出的情況下，降低內(nèi)外部風(fēng)險，同時找到當(dāng)前安全防護(hù)范圍內(nèi)，現(xiàn)有產(chǎn)品無法阻擋的攻擊。其架構(gòu)如下圖所示，它是一個基于云的平臺，通過SaaS方式供企業(yè)用戶使用。遵循檢測評估、風(fēng)險識別、建議與優(yōu)化三大步驟，它可以幫助企業(yè)度量在數(shù)據(jù)中心、公有云、私有云和混合網(wǎng)絡(luò)上的安全態(tài)勢狀況。

是德科技BAS解決方案架構(gòu)圖

該解決方案主要包括三大核心組件：基于WEB的友好頁面、“暗云”實(shí)體、在企業(yè)內(nèi)網(wǎng)部署的輕量級代理。其中，“暗云”實(shí)體是根據(jù)需要模擬不同威脅角色，比如：惡意網(wǎng)站、外部黑客、C&C服務(wù)器等。而在企業(yè)內(nèi)網(wǎng)部署的代理以Docker容器的形式運(yùn)行，作為網(wǎng)絡(luò)內(nèi)部“目標(biāo)”或“攻擊者”的模擬，從而實(shí)現(xiàn)從內(nèi)到外、從外到內(nèi)以及內(nèi)部橫向移動的攻擊場景。

此外，為了幫助用戶抵御新風(fēng)險，是德科技應(yīng)用和威脅情報研究團(tuán)隊(duì)的研究成果會定期更新到BAS解決方案中，確保可以模擬新的黑客入侵手段和漏洞攻擊。

后記

此次微盟因“人禍”而引發(fā)的“刪庫”事件，值得各行業(yè)的企業(yè)深思，尤其是疫情特殊時期的當(dāng)下，企業(yè)更應(yīng)該洞悉內(nèi)外部安全風(fēng)險，可以采用一種自動化的方法來持續(xù)度量安全態(tài)勢狀況，高效及時地知曉風(fēng)險何時發(fā)生，有何變化，以提出有效建議來解決風(fēng)險。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】