家贼难防!面对源源不断的内鬼泄密 企业该使什么招?
编者按:
上周刚上热搜的圆通,多位内部员工勾结不法分子通过有偿租用员工系统账号,盗取40万条公民个人信息卖到电信诈骗高发区牟利,涉案金额超120万余元。紧接着,快递行业翻车表演开始了。
澎湃新闻连日调查发现,内鬼泄密现象不止圆通一家,网上存在贩卖快递用户信息的“黑产”链条,涉及申通、EMS、德邦、圆通、韵达等多家快递公司。
事实上,内鬼泄密已经成为个人信息泄露的一大主要途径。
据调研机构Ponemon的调查,组织内部员工行为是最常见的内部威胁形式,占数据泄露事件的64%,而外部攻击行为只占23%。“IBM X-Force威胁情报指数”调查报告也显示,数据泄露事件的60%源于组织内部威胁。
2014年初至2016年,上海市疾控中心工作人员窃取30万余条新生儿信息并出售牟利。
2016 年,智联招聘经营方公司员工向外兜售用户简历信息超15万条。
2017年,58同城客服人员勾结外人,盗窃1176个账户贩卖获利,造成客户损失上百万元。
2018年,苹果在内部找到29名泄密者,除自家员工,泄密者还包括经销商和供应链员工。
2019年,河南开封市社区、物流等多部门内鬼通过微信群贩卖公民个人信息超1亿条。
……
然而一直以来,企业都将安全防御的重点放在来自外部的攻击和入侵方面,在构筑一道道坚固堡垒的同时,却忽视了对内部薄弱环节的关注。
为什么会造成这样的偏差?
安全419(anquan419.com)就此现状采访了多位数据安全领域的专家,发现企业对内部管控的忽略和内鬼行踪的难以捕捉让内部威胁的威力逐渐攀高。
美创科技解决方案专家吴慧慧告诉我们,首先是内部人员接触数据更容易。外部攻击想要窃取数据,是一种偏“暴力”的行为,渗透、破解等操作总会残留下踪迹。
但是内部人员就不一样了,他已经拥有合法的权限,可以直接登录数据库,一些看似合法的账户,却神不知鬼不觉地做了不合法的事情,系统往往难以判别实质性的合法与非法。如果权限足够高,甚至可以把数据库全盘拖出,这是SQL注入等外部攻击难以比肩的。
其次,内部的数据泄露难以追溯。企业的数据库通常都存在公用账户,许多数据库在设计之初就拥有DBA(Database Administrator)这样的高权限账号,多个内部人员都可以合法接触到与实际职能权限并不匹配的数据,一旦发生泄露想要追责并不容易。
“如果采用比较严谨的权限管控,可能需要企业安排专人进行账号维护,但很多企业并没有这份心思,甚至认为这会阻碍业务操作的便捷和效率。”
面对权限管控问题,安华金和数据库安全实验室负责人朱强分析,企业倾向于认为只要限制访问网络的所有区域,同时根据工作需要给予每个员工最少的自治权,这样就可以避免所有安全威胁。
但是随着时间的流逝,有新人加入公司也有其他人离开,访问环境变得越来越复杂,最终公司失去了对“谁有权访问”的跟踪,从而造成了管理上的噩梦。甚至也发生过不少离职员工使用旧的登录凭据或密码来访问数据库的例子。
朱强强调,“不仅是主动泄密,无意地粗心和疏忽也会带来风险。并且,内部违规行为不一定要涉及全职员工,承包商、访客甚至客户都可能构成威胁。”
是的,员工是重大的安全风险,但企业对于内外安全性的认知已经过时。在传统的概念里,大家认为只有外网才是有威胁的,内网就是安全的,所以对内部都是采取信任的态度和机制。
三番五次的内鬼泄密事件强势打脸后,企业应该认识到,聚焦外部攻防的安全体系在这个时代并不完全适用了。
企业究竟应该怎么防范内鬼?
朱强表示,针对企业内部的非法越权行为,不仅需要企业有数据安全专家对企业的数据基础设施进行有效的安全管理,还需要部署现代的数据安全系统,针对内鬼操作在数据层面进行详细有效的分类及行为特征跟踪,并将这些行为特征变为可以与数据安全专家互动的操作界面,以便及时采取相应的措施。
腾讯安全专家杨启波建议,要真正保障企业隐私信息的安全,除了基础合规体系以外,企业应该采用“零信任”安全机制。不信任任何访问,对每次访问做到严格鉴权监控。通过多因素认证验证访问者真实身份之后,再开放系统访问权限,并做好全程访问过的实时风控,对访问者真实身份(身份识别/多因素认证)、访问频次/地点/行为特征等进行实时预判,以在第一时间发现风险并切断访问来源。
近几年,我们已经看到Google、Akamai等企业在内部实践了零信任机制,如今Google的员工无论在家、咖啡厅或办公楼等任何地点,访问公司应用都是一样的体验,不再需要VPN,员工到应用的连接都进行了加密,真正实现访问控制权从边界转移到个人设备与用户上。
进一步,将零信任机制落实到内控的数据安全流程上,吴慧慧阐释到,首先是对于敏感数据的发现和分类分级,比如100G数据中,经过梳理可能只有10G属于敏感数据,这其中哪些是高敏感级别、哪些是中等级别,再根据数据的不同等级采用不同的安全措施,以提高管控的针对性和有效性。
其次是对所有访问都进行多因素身份认证。会访问数据的不仅有“人”,还包括各种运维工具、API接口等,仅用账户密码作为凭证是不够的,还需要验证数字证书、IP地址、访问时间等等,用若干条件做一个联合约束,只要有一个条件验证不合格,就会拒绝访问,既提升了访问身份的安全性也减少了对后期事件追踪的难度。
再者是对权限的细粒度管控。访问数据库的人员,除了公司自己的员工,可能还有驻场人员、第三方外包人员、上下游供应链企业人员、经销商承包商等等不安全的人员。因此需要把账户的权限尽量控制在最小的范围内,包括每个账户能访问哪些数据、能访问到什么程度、数据的返回能到第几行等,精细的权限管控让人员在使用数据方便的情况下避免了高权限账户能访问所有的敏感数据。
最后还包括数据脱敏。即使拥有了最小权限的账户,访问还是会看到明文,也意味着数据依然有被泄露的风险。因此需要对敏感数据按需进行脱敏规则变形,同时脱敏后的数据保持数据的一致性和业务的关联性,实现敏感隐私数据的可靠保护,让别有用心之人带不走机密文件。
我们需要认识到,即使拥有了健全的法律监管和高超的防护技术,只要有利益存在,内鬼就不会消失。内部管控以及数据安全保护是一个长期持续的、系统性的工程,需要我们从制度、技术和意识等层面建立安全机制并不断完善,与其亡羊补牢,不如未病早治疗。