內憂不可忽視 12項基本措施防御內部人員攻擊
內部人員攻擊所占的比例也許不高,但它所造成的危害卻非同小可。令人擔憂的是,內部人員攻擊變得日益復雜,越來越多的內部人員使用rootkit或黑客工具,并且其攻擊行為日益自動化。本文將討論如何保護網絡,防御這種日益復雜的攻擊。
簡述內部人員攻擊情形
內部人員攻擊,從其定義來說,是由可以合法訪問公司網絡和系統的人員所執行的攻擊。這些內部人員可能是對公司不滿的員工,受到金錢誘惑從而使用各種攻擊竊取信息的員工,臨時為公司工作同時擔當商業間諜的雇員,或者是某個濫用網絡特權的其它任何人。
具體情形包括:
1、故意用惡意軟件或病毒等感染公司的計算機和網絡,從而影響工作效率。
2、引入間諜軟件、鍵盤記錄器及其它類似軟件,目的是為了獲得同事們正在干什么的信息。
3、竊取口令,冒充他人登錄到公司網絡,事實上就是竊取員工的身份。
4、在沒有獲得授權的情況下,復制公司的機密信息,并帶出去或發送出去。
制定安全策略防御內部人員攻擊
正如零售公司都采取預防措施來防止雇員竊取現金或財產一樣,處理重要電子數據的企業需要考慮數據泄漏保護(DLP)系統。不同的廠商有不同的DLP產品和技術,但是一套全面的策略要比僅購買和安裝一個DLP設備更具意義。
1、實施一套專用的DLP設備或軟件。DLP設備或軟件允許管理員跟蹤公司的數據流向,可通過實時方式或通過收集信息,并將其總結在每天或每周的報告中。你可能需要一個能夠截獲并讀取SSL或其它加密消息的DLP系統,否則用戶就可以加密數據并將其發送到網絡之外。注意,DLP的一個缺點是它可能會影響網絡性能。
2、配置防火墻,雙向解決通信問題。多數現代防火墻能夠過濾進入和轉出的通信,不過,許多防火墻的配置卻只能控制前者。管理員需要設置防火墻的向外轉發規則,使其明確的僅準許匹配標準的通信可以通過。例如,你可以阻止使用特定端口號的外發通信。
3、使用網絡內的數據包檢查。DLP設備和防火墻專注于發往網絡之外的通信。例如,在一個用戶從服務器下載一個他不應當或不需要訪問的文件到自己的電腦上時,你可以使用NAV工具,用來檢查在內部網絡遷移的數據包內容。NAV工具可以深入檢查數據包的內容,并查找一個文檔或文件內的特定詞語或數據類型(如賬號)。不過,NAV產品與DLP一樣,可能會降低網絡性能。
4、使用帶有內容過濾功能的郵件安全產品。例如,你可以使用電子郵件安全產品中的內容過濾特性來阻止那些包含某些關鍵字的消息,或者阻止用戶發送附件,從而防止內部人員將機密信息發送到網絡外部。
5、數據加密。即使他們已經成功截獲了數據并將其帶到了網絡外部,加密敏感數據將會使網絡內部人員在訪問和讀取信息時更為困難。
6、最少特權。為實現最佳的安全和對內部人員的最好防護,務必保證僅給用戶最有限的特權,使其僅能用這些特權完成所需工作。在配置DLP產品或防火墻的發出規則時,該原則也適用,剛開始應當先阻止所有的訪問,然后僅準許那些確實需要的訪問,而不應該反過來,先準許所有的訪問隨后再有選擇地限制某些訪問。同樣,訪問加密數據的密鑰只能給與那些工作職責要求訪問這些數據的用戶,而不是給所有的雇員或有特殊地位的用戶。
7、文件訪問審核。實施文件系統的訪問審核有助于檢測用戶是否正在訪問他們完成其工作時并不需要的信息。
8、職責或職務的分離。該策略確保任何人都無法單獨處理一項重要業務(如貨幣資金的轉賬)。某個人也許能夠啟動某個過程,但如果沒有其它人的授權就無法完成。這會提供一種檢查機制,從而防止具有欺詐意圖的雇員或滲透進入公司的間諜的不法行為。
9、控制USB設備。DLP、防火墻、郵件內容過濾器有助于防止內部人員將敏感的公司信息發送到網絡之外。然而,可移動的USB設備常被內部人員用于復制敏感的公司信息,并帶到公司之外。為防止這種現象,你可以禁用那些并不絕對需要USB設備的系統上的USB端口。你可以使用Windows的組策略或第三方的軟件來限制或阻止USB設備的安裝。如GFI的Endpoint Security可用于管理用戶訪問,并記錄USB設備、CD、閃存卡、MP3設備、智能電話、PDA以及通過USB端口連接到計算機的其它設備的活動。
10、權限管理服務。權限管理允許你管理用戶的數據訪問權,有助于防止用戶與無權訪問這些數據的用戶共享數據。Windows的權限管理服務(RMS)準許你阻止文檔的復制或打印,阻止轉發或復制電子郵件消息等等。Windows還可以阻止對受保護的文檔或消息執行快照。對于內部人員來說,盜用受保護的信息會變得更加困難。
11、變更管理。配置和變更管理工具有助于在雇員對系統做出配置變更時進行確認,防止訪問他不應當訪問的信息。市場上有不少產品可以跟蹤網絡上的變化。
12、身份管理。因為訪問特權是根據用戶身份來授予的,所以很有必要部署一個身份管理系統。在當今的網絡環境中,這尤為重要,因為由于公司的合并或將數據遷移到云中的趨勢都會使問題復雜化。
最后,以上這些僅僅是你可用來防護內部人員威脅的基本措施,防御內部人員攻擊還需要完善的安全策略和各方面的共同努力。
【編輯推薦】
