企業(yè)信息安全面臨的威脅

今天刃麸，企業(yè)生產(chǎn)活動(dòng)越來越依賴于信息系統(tǒng)沦辙，企業(yè)的發(fā)展壯大也需要信息系統(tǒng)的助力，因此茎芋，信息系統(tǒng)的安全保障正變的越來越重要颅眶。

當(dāng)前，對(duì)于企業(yè)信息系統(tǒng)的威脅呈現(xiàn)立體化田弥，縱深化涛酗，職業(yè)化的特點(diǎn)。對(duì)企業(yè)信息系統(tǒng)的攻擊不再局限于簡(jiǎn)單的病毒傳播或是粗暴的DDoS^[注2]偷厦，而是包含了由內(nèi)網(wǎng)滲透商叹，內(nèi)網(wǎng)漫游，數(shù)據(jù)竊取只泼，系統(tǒng)破壞等一系列攻擊方式組成的高級(jí)持續(xù)攻擊（APT^[注1]）剖笙。攻擊的組織也從無組織的個(gè)人發(fā)展為有組織，有產(chǎn)業(yè)鏈的團(tuán)隊(duì)请唱，甚至是軍隊(duì)弥咪。

這些更為精巧的攻擊，可以直接影響企業(yè)的生產(chǎn)活動(dòng)籍滴，甚至造成機(jī)密數(shù)據(jù)外泄酪夷，破壞生產(chǎn)系統(tǒng)，給企業(yè)帶來更大的損失孽惰。

索尼影業(yè)黑客入侵事件

在發(fā)生于2014年11月24日的一場(chǎng)黑客攻擊事件中晚岭，黑客組織“和平衛(wèi)士”（Guardians of Peace）公布了索尼影業(yè)員工電郵，涉及公司高管薪酬和索尼非發(fā)行電影拷貝等內(nèi)容勋功。

由于索尼網(wǎng)絡(luò)存在簡(jiǎn)單密碼坦报，黑客組織通過猜測(cè)密碼進(jìn)入SONY內(nèi)部網(wǎng)絡(luò)库说。黑客組織包含有一名SONY曾經(jīng)的雇員。這導(dǎo)致該組織對(duì)SONY內(nèi)部網(wǎng)站結(jié)構(gòu)非常熟悉片择。他們?cè)赟ONY的內(nèi)部網(wǎng)絡(luò)里一個(gè)網(wǎng)段一個(gè)網(wǎng)段的掃描潜的，尋找可以入侵的重要主機(jī)。在發(fā)現(xiàn)重要主機(jī)后字管，透過SMB蠕蟲^[注6]去猜測(cè)密碼啰挪，并植入數(shù)據(jù)竊取木馬和邏輯炸彈。木馬程序?qū)⒅鳈C(jī)中的重要數(shù)據(jù)回傳到遠(yuǎn)端的一個(gè)USB存儲(chǔ)設(shè)備上嘲叔。在這個(gè)過程中亡呵，黑客組織不斷變換代理服務(wù)器，以避免被監(jiān)視設(shè)備發(fā)現(xiàn)硫戈。在數(shù)據(jù)傳輸完成后锰什，黑客組織向SONY發(fā)出了威脅通告。在SONY拒絕了黑客組織的要求后丁逝，該黑客組積利用事先植入的邏輯炸彈將郵件服務(wù)器破壞汁胆，使SONY內(nèi)部郵件系統(tǒng)停止運(yùn)轉(zhuǎn)。

事件發(fā)生的當(dāng)天霜幼，SONY集團(tuán)股價(jià)在5天內(nèi)下跌10%嫩码，公司市值減少100多億元。在入侵事件發(fā)生后的2015年罪既，維基解密^[注4]公布了黑客獲取到的數(shù)據(jù)谢谦，包含有30287份索尼影視美國(guó)公司的文件和173132封電子郵件。

由于這些數(shù)據(jù)曝光了索尼影視高管艾米·帕斯卡（Amy Pascal）發(fā)送的郵件包含了關(guān)于總統(tǒng)奧巴馬的種族敏感話題萝衩，艾米被迫辭職回挽。

這一事件向世人清楚的展示了新時(shí)代下，黑客組織如何有計(jì)劃猩谊，有目的的對(duì)企業(yè)組織進(jìn)行破壞千劈。其技術(shù)之精細(xì)，實(shí)施的時(shí)間跨度之大牌捷，都已經(jīng)不是上個(gè)世紀(jì)黑客嬉皮士們所能相比的墙牌，對(duì)企業(yè)造成的打擊也極為沉重。

信息安全建設(shè)的核心需求

新時(shí)代下暗甥，信息安全局面的新變化喜滨，推動(dòng)企業(yè)更為積極的進(jìn)行信息安全建設(shè)。

有明確的目標(biāo)撤防，才能有明確的實(shí)施計(jì)劃虽风。進(jìn)行信息系統(tǒng)安全建設(shè)的第一步，是要明確我們的需求。通常來說辜膝，信息安全建設(shè)的核心需求是：快速檢測(cè)无牵，約束影響，快速定位厂抖，快速恢復(fù)茎毁。

在攻防技術(shù)對(duì)抗方面，防守方總是處于劣勢(shì)的忱辅。因?yàn)槠咧朗胤矫鎸?duì)的一個(gè)全面的信息系統(tǒng)。而進(jìn)攻只要能找到一個(gè)入口就能突破進(jìn)來墙懂。因?yàn)榇薰＃朗匾环讲荒芑孟胫阉械墓舳甲钃踉谄髽I(yè)信息系統(tǒng)的外面，我們要接受進(jìn)攻者能突破進(jìn)來的這個(gè)事實(shí)垒在，而把力量和資源放在檢測(cè)能力加強(qiáng)的方向。做到能檢測(cè)到扔亥，可以趕出去场躯。

在檢測(cè)到入侵之后，信息系統(tǒng)的維護(hù)人員要做到使入侵者所獲取的權(quán)限盡可能的小旅挤，獲取到的數(shù)據(jù)盡可能的少踢关，對(duì)系統(tǒng)的破壞盡可能的減弱，把其關(guān)在一個(gè)盡可能小的“籠子”里粘茄。為檢測(cè)破壞范圍签舞，查找漏洞，確定恢復(fù)方案爭(zhēng)取時(shí)間柒瓣。

在漏洞定位后儒搭，建立恢復(fù)方案，并迅速實(shí)施芙贫，清理信息系統(tǒng)搂鲫，恢復(fù)被破壞的信息系統(tǒng)。

企業(yè)信息安全的建設(shè)方法

為了滿足信息安全建設(shè)的核心需求磺平，我們需要在企業(yè)信息安全建設(shè)中魂仍，集中做好三件事，第一件是建立安全基線拣挪，這是為信息系統(tǒng)的網(wǎng)絡(luò)安全打下基礎(chǔ)擦酌。第二件，是建立監(jiān)控和入侵檢測(cè)能力菠劝，特別是多維度的入侵檢測(cè)赊舶，出現(xiàn)情況時(shí)，相關(guān)人員可以得到有針對(duì)性的檢測(cè)報(bào)告。第三件锯岖，是建立災(zāi)后應(yīng)急響應(yīng)能力介袜。讓響應(yīng)的時(shí)間成本更短，溯源和根因分析的能力更強(qiáng)出吹。

基礎(chǔ)的安全基線

l IT資產(chǎn)統(tǒng)一管理

首先遇伞，要對(duì)IT環(huán)境中的資產(chǎn)做到記錄在冊(cè)，統(tǒng)一管理捶牢。資產(chǎn)包括硬資產(chǎn)和軟資產(chǎn)鸠珠。軟資產(chǎn)不僅僅指軟件，也包括環(huán)境數(shù)據(jù)秋麸。比如渐排，操作系統(tǒng)信息，業(yè)務(wù)系統(tǒng)信息灸蟆，網(wǎng)絡(luò)環(huán)境配置參數(shù)驯耻，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，域名等等炒考。IT資產(chǎn)管理到位可缚，才能做到安全措施不會(huì)被遺漏。否則斋枢，被遺漏的資產(chǎn)很有可能因?yàn)樽龅經(jīng)]有足夠的安全保護(hù)措施而為黑客所利用纱耻。

l 基本的補(bǔ)丁管理

有了資產(chǎn)的統(tǒng)一管理斧蜕，就能夠?qū)φ麄€(gè)信息系統(tǒng)的軟件配置有清晰的判斷已日。進(jìn)而松捉，可以部署補(bǔ)丁推送系統(tǒng)。比如：微軟 的SCCMM戈次，也可以利用第三方終端管理軟件附帶的補(bǔ)丁管理功能轩勘。許多的入侵滲透都是利用的一些公布的漏洞，而這些漏洞怯邪，軟件的開發(fā)商都發(fā)布了相應(yīng)的補(bǔ)丁赃阀。做好補(bǔ)丁管理工作，絕大多數(shù)的漏洞就都會(huì)被封都住擎颖，阻止了黑客的入侵榛斯。

l 漏洞管理

中國(guó)和美國(guó)都建設(shè)有自己的漏洞發(fā)布中心和數(shù)據(jù)庫^[注7]。它們都是可以免費(fèi)訪問和使用的搂捧。一些開源的漏洞掃描軟件就是從這些數(shù)據(jù)庫中得到最新的漏洞數(shù)據(jù)驮俗。應(yīng)該使用這些開源漏洞掃描軟件對(duì)IT環(huán)境內(nèi)的主機(jī)資產(chǎn)進(jìn)行定期掃描，找到存在的漏洞允跑，并通過補(bǔ)丁管理系統(tǒng)為其打上補(bǔ)丁王凑。

偶爾會(huì)有重大漏洞被發(fā)布搪柑，安全管理人員應(yīng)訂閱這類的資訊，保持跟蹤索烹。當(dāng)發(fā)現(xiàn)重大軟件漏洞被披露時(shí)工碾，及時(shí)跟進(jìn)軟件開發(fā)商的發(fā)布平臺(tái)，下載補(bǔ)丁或?qū)嵤┮恍┡R時(shí)緩解措施百姓。

l 基本的訪問控制

對(duì)企業(yè)信息系統(tǒng)應(yīng)該劃分不同的安全域渊额。至少生產(chǎn)系統(tǒng)與辦公網(wǎng)絡(luò)應(yīng)該是不同的安全域和安全等級(jí)。帳號(hào)應(yīng)該統(tǒng)一管理垒拢，為不同的級(jí)別的員工設(shè)定不同的安全策略旬迹。

l 弱密碼的檢測(cè)，以及密碼的管理

大多數(shù)的入侵并不是利用高技術(shù)高價(jià)值的零日漏洞^[注3]求类，或是物理攻擊奔垦。而是利用內(nèi)部員工的帳號(hào)進(jìn)入的。使用弱密碼會(huì)大大降低防御能力尸疆，也能得為安全的許多努力白費(fèi)功夫椿猎。

企業(yè)網(wǎng)絡(luò)中，大部分的資產(chǎn)都被納入到帳號(hào)統(tǒng)一管理中寿弱，但總會(huì)有一些設(shè)備犯眠，例如，某個(gè)第三方的設(shè)備脖捻，無法接入企業(yè)的帳號(hào)統(tǒng)一管理系統(tǒng)中。那么兆衅，這類資產(chǎn)就存在出現(xiàn)弱密碼地沮，甚至是無密碼的情況。

一方面羡亩，我們通過帳號(hào)統(tǒng)一管理摩疑，設(shè)定密碼的設(shè)置策略，強(qiáng)制保證受控資產(chǎn)新設(shè)置的密碼符合強(qiáng)度要求畏铆。另一方面雷袋，建立密碼掃描系統(tǒng)^注]，定時(shí)掃描系統(tǒng)里是否存在有弱密碼的情況辞居。

監(jiān)控和入侵檢測(cè)能力

監(jiān)控能力是對(duì)公司生產(chǎn)及辦公網(wǎng)絡(luò)中各種資產(chǎn)和行為進(jìn)行記錄的能力楷怒。對(duì)于高危的行為可以進(jìn)行阻斷和告警。

監(jiān)控能力越強(qiáng)瓦灶，在出現(xiàn)了入侵行為后鸠删，就能夠追本溯源，并可以精確的確定入侵行為的影響范圍和受損資產(chǎn)贼陶。反之刃泡，如果監(jiān)控不足巧娱，我們既不能找到入侵行為的源頭，也不知道入侵影響的范圍烘贴。就無法針對(duì)性的進(jìn)行內(nèi)部網(wǎng)絡(luò)進(jìn)行清理禁添。入侵就成為了揮之不去的隱患。

入侵檢測(cè)可以在多種維度同時(shí)進(jìn)行桨踪，包括網(wǎng)絡(luò)流量老翘，或是基于業(yè)務(wù)系統(tǒng)，在主機(jī)側(cè)實(shí)行馒闷，甚至在移動(dòng)設(shè)備上進(jìn)行酪捡。不過，對(duì)于非IT企業(yè)纳账，并不需要建設(shè)如此縱深的檢測(cè)系統(tǒng)逛薇。

通常來說，我們只需要對(duì)關(guān)鍵域采用IDS設(shè)備進(jìn)行網(wǎng)絡(luò)流量檢測(cè)疏虫，以及采用郵件網(wǎng)關(guān)對(duì)容易被入侵者利用的郵件系統(tǒng)進(jìn)行內(nèi)容掃描永罚，以及在辦公域的主機(jī)上部署殺毒軟件，就可以了卧秘。

應(yīng)急響應(yīng)

安全應(yīng)急響應(yīng)是指企業(yè)在遇到突發(fā)安全事件后所采取的活動(dòng)呢袱。安全事件則是指影響企業(yè)內(nèi)部信息系統(tǒng)正常工作的情況，例如信息竊取翅敌、黑客入侵羞福、網(wǎng)絡(luò)流量異常、DDoS等蚯涮。應(yīng)急響應(yīng)的目標(biāo)是以最快速度恢復(fù)系統(tǒng)的保密性治专、完整性和可用性，阻止和減小安全事件帶來的影響遭顶。

應(yīng)急響應(yīng)首先應(yīng)該明確責(zé)任人张峰。通常企業(yè)應(yīng)該成立一個(gè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組（簡(jiǎn)稱CERT）。通常這個(gè)小組的成員數(shù)量不會(huì)多棒旗。不過喘批，如果企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)復(fù)雜的話，還應(yīng)該準(zhǔn)備各個(gè)系統(tǒng)的相關(guān)專家的聯(lián)系方式铣揉。

應(yīng)急響應(yīng)的執(zhí)行方案應(yīng)該遵守PDCERF模型饶深。簡(jiǎn)單說來就是一系列的步驟：

P是指準(zhǔn)備(Preparation)。CERT應(yīng)該為可能發(fā)生的應(yīng)急響應(yīng)事件準(zhǔn)備好相當(dāng)?shù)臄?shù)據(jù)和軟硬件工具逛拱。

數(shù)據(jù)包含各個(gè)業(yè)務(wù)系統(tǒng)的初始配置數(shù)據(jù)粥喜，配置手冊(cè)，網(wǎng)絡(luò)結(jié)構(gòu)圖橘券，IP地址表等等额湘。

軟件工具包含各種設(shè)備配置程序卿吐，清理程序，終端程序锋华，遠(yuǎn)程控制程序等等嗡官。

D是指診斷（Decttion）。在連接到現(xiàn)場(chǎng)毯焕，得到初步信息或是更深度的數(shù)據(jù)后衍腥，可以開始診斷發(fā)生了什么類型的問題。是網(wǎng)絡(luò)問題纳猫，還是業(yè)務(wù)系統(tǒng)配置有誤婆咸，還是病毒爆發(fā)，還是有入侵者進(jìn)行了破壞芜辕。這是這個(gè)階段需要進(jìn)行判斷的尚骄。這個(gè)階段并不要求立刻找到根本原因和源頭，甚至侵续，只需要做出一個(gè)基本面的判斷即可倔丈。

C是指抑制（Containment）。首先應(yīng)該是抑制受害范圍状蜗，隔離使用受害面不繼續(xù)擴(kuò)大需五，再追求根治，而不是一邊任其蔓延轧坎，一邊去查各種系統(tǒng)數(shù)據(jù)宏邮，執(zhí)行各類掃描工具，到頭來當(dāng)清楚一臺(tái)缸血，或數(shù)臺(tái)機(jī)器的情況后蜜氨，病毒或是入侵者又破壞了其它的系統(tǒng)。這就是為什么在上一步的診斷階段里属百，我們只需要做出初步的判斷（當(dāng)然记劝，如果可以一眼就看出源頭变姨，這是最好的結(jié)果族扰。），指導(dǎo)抑制階段的工作定欧。目標(biāo)是快速的恢復(fù)系統(tǒng)渔呵，降低事件的影響。

E是指根除（Eradication）砍鸠。這是我們熟悉的一個(gè)階段扩氢。這個(gè)階段的時(shí)間比較充分。CERT也可以調(diào)動(dòng)更多的資源爷辱，找到事件的起始肇因录豺。

R是指恢復(fù)（Recovery）朦肘。把業(yè)務(wù)恢復(fù)至正常水平。隔離區(qū)也可以在清除后双饥，接入業(yè)務(wù)網(wǎng)絡(luò)媒抠。被破壞的數(shù)據(jù)，程序也都被恢復(fù)咏花。對(duì)于不可逆的損失趴生，可以記錄下來，用于下一階段的復(fù)盤昏翰。

F是指跟蹤（follow-up）苍匆。監(jiān)控有無異常，整理各類棚菊，各系統(tǒng)的報(bào)告浸踩，提出自省和改進(jìn)措施，對(duì)安全運(yùn)營(yíng)持續(xù)改進(jìn)窍株。

a.png

圖1 PDCERF模型

建設(shè)過程

雖然我們知道要集中辦好三件事民轴，但羅馬不是一天就可以建成的。信息安全建設(shè)也是一步步完成的球订。

在從0到1的起步階段后裸，首先要做的是基礎(chǔ)安全策略的實(shí)施，這部分雖然看起來沒有太多的高新技術(shù)冒滩，但卻是ROI^[注5]最高的部分微驶。這一步不需要高投入就可以解決大多數(shù)的安全問題。即使沒有太多的安全預(yù)算开睡，對(duì)于企業(yè)至少完成這一步因苹，可以避免很多的安全威脅。

第二步篇恒，是建設(shè)監(jiān)控和入侵檢測(cè)能力扶檐。一般來說，購(gòu)買商業(yè)解決方案可以解決這一步的需求胁艰。同時(shí)款筑，在這步的實(shí)施中， 不僅僅是增加了一些IT設(shè)備腾么，同時(shí)奈梳，也要建設(shè)技術(shù)團(tuán)隊(duì)，以支持安全系統(tǒng)的運(yùn)行解虱。建設(shè)安全流程攘须，安全檢查規(guī)范。使購(gòu)買的設(shè)備發(fā)揮作用殴泰，也為應(yīng)急響應(yīng)的實(shí)施做好技術(shù)和人員的準(zhǔn)備工作于宙。

第三步浮驳，就是應(yīng)急響應(yīng)能力。應(yīng)急響應(yīng)沒有一個(gè)固定的模板捞魁，不同的企業(yè)有不同的要求抹恳。但總的要求是快和準(zhǔn)。應(yīng)急響應(yīng)要明確責(zé)任人署驻，和處理流程奋献。流程即不能冗長(zhǎng)，也不能太靈活旺上。太長(zhǎng)了瓶蚂，就無法快速響應(yīng)，太靈活了宣吱，處理人在響應(yīng)過程隨意發(fā)揮窃这，容易小事變大事。

應(yīng)急響應(yīng)能力是一個(gè)需要不斷迭代進(jìn)化的過程征候。做好處理紀(jì)錄杭攻，經(jīng)常復(fù)盤和演示，總結(jié)最佳實(shí)踐疤坝，是非常必要的兆解。

信息安全是一個(gè)沒有硝煙，永不結(jié)束的戰(zhàn)爭(zhēng)

只要有人就有江湖跑揉，只要有利益就有戰(zhàn)爭(zhēng)锅睛。黑客一直是信息戰(zhàn)爭(zhēng)的主角。只要利益的存在历谍，黑客就不會(huì)退出江湖现拒。信息安全是一個(gè)需要長(zhǎng)期建設(shè)，不斷投入的工程望侈。不存在一勞永逸的解決方案印蔬。

技術(shù)的進(jìn)步，計(jì)算環(huán)境的更迭脱衙，組織結(jié)構(gòu)的變化侥猬，企業(yè)業(yè)務(wù)的調(diào)整，都會(huì)對(duì)企業(yè)信息安全體系產(chǎn)生影響岂丘。

企業(yè)信息安全系統(tǒng)的團(tuán)隊(duì)需要不斷的更新自己的知識(shí)陵究，密切關(guān)注信息系統(tǒng)的運(yùn)行眠饮，保護(hù)企業(yè)的信息系統(tǒng)的正常運(yùn)行奥帘。

注：

1. APT

高級(jí)長(zhǎng)期威脅，Advanced Persistent Threat仪召，縮寫為APT

2. DDoS

分布式拒絕服務(wù)攻擊（distributed denial-of-service attack寨蹋，縮寫：DDoS attack松蒜、DDoS）亦稱分布式洪水攻擊，是一種網(wǎng)絡(luò)攻擊手法已旧，其目的在于使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡秸苗，使服務(wù)暫時(shí)中斷或停止，導(dǎo)致其正常用戶無法訪問运褪。

3. 零日漏洞

零日漏洞或零時(shí)差漏洞（英語：Zero-day exploit）通常是指還沒有補(bǔ)丁的安全漏洞惊楼，而零日攻擊或零時(shí)差攻擊（英語：Zero-day attack）則是指利用這種漏洞進(jìn)行的攻擊。

4. 維基解密

維基解密（又稱維基揭密或維基泄密秸讹；英語：WikiLeaks）檀咙，是透過協(xié)助知情人[6][7][8]讓組織[9]、企業(yè)[10]璃诀、政府[11]在陽光下運(yùn)作的弧可、無國(guó)界非盈利的互聯(lián)網(wǎng)媒體。

5. ROI

投資回報(bào)率(Return On Investment劣欢，ROI)投資回報(bào)率（ROI）是指通過投資而應(yīng)返回的價(jià)值棕诵，企業(yè)從一項(xiàng)投資性商業(yè)活動(dòng)的投資中得到的經(jīng)濟(jì)回報(bào)。

6. SMB蠕蟲

計(jì)算機(jī)蠕蟲與計(jì)算機(jī)病毒相似凿将，是一種能夠自我復(fù)制的計(jì)算機(jī)程序校套。與計(jì)算機(jī)病毒不同的是，計(jì)算機(jī)蠕蟲不需要附在別的程序內(nèi)牧抵，可能不用使用者介入操作也能自我復(fù)制或執(zhí)行搔确。計(jì)算機(jī)蠕蟲未必會(huì)直接破壞被感染的系統(tǒng)，卻幾乎都對(duì)網(wǎng)絡(luò)有害灭忠。SMB蠕蟲是指利用SMB網(wǎng)絡(luò)協(xié)議進(jìn)行傳播的計(jì)算機(jī)蠕蟲膳算。

7. 漏洞數(shù)據(jù)庫

https://cve.mitre.org/ MITRE

http://www.cnnvd.org.cn/ 中國(guó)國(guó)家信息安全漏洞庫