人是安全管理中最大的安全隱患。不記得這句話從哪里看到的了。不過我們經常會看到類似于從一個司機郵箱滲透到企業重要系統的案例，越來越熱的apt攻擊也選擇人作為突破口。比如針對Google的極光攻擊就是因為一個員工點擊了聊天消息的鏈接從而導致被滲透的。

所以當防火墻配置恰當，數據已經加密，防病毒升級到最新，所有的措施都安排妥當之后，不要忘記人也是一個很大的風險來源。本文會先介紹企業員工可能導致的安全風險以及常用的防御方法。最后會從SIEM的角度嘗試一種可能的解決方案。

風險類型

社會工程學

這個大家都很熟悉了。釣魚，社工庫，丟優盤，送路由之類的。利用人性的一些特點來實現攻擊。比如某大牛曾經說過隨便挑一個下午去濱江阿里巴巴園區的星巴克坐著，就能黑掉網易。

緩解的方法通常就是進行用戶安全意識培訓，尤其通過一些實例，比如模擬釣魚，然后公開釣魚的成果，這樣用戶印象會比較深刻。下次遇到類似的情況就會考慮多一些。

用戶的密碼

首先是弱密碼，盡管可能有各種防止弱密碼的策略。但是工作中首先考慮的是更好更快的完成工作。所以弱密碼還是很常見的。此外還可能有很多別的途徑可能泄露了密碼，像工作中臨時提供給需要的第三方沒有及時修改等等。降低風險的方式就是實行嚴格的密碼設置策略。不過包含數字字母符號的密碼可能依然是字典里存在的弱密碼。

用戶資產存在漏洞

大公司可能會對所有的辦公電腦統一管理，按時升級各種補丁。但是現在有越來越多的設備類型，筆記本，手機，平板等都可能在工作中用到。而這些設備是否存在漏洞，是否安裝補丁是用戶自己負責的。辦公電腦上用戶自己安裝的第三方軟件，比如瀏覽器等等可能也沒有統一的補丁升級策略。降低風險的方法可以通過定期的漏洞掃描來降低風險。

使用各種云服務

云服務的應用越來越廣泛，就拿網盤來說，大家都在用。假如把公司的資料放在網盤上是否存在風險呢。如果一些大的網盤提供商被入侵或是數據泄露，那么后果是不堪設想的。其實敏感資料放在第三方之后，就已經不是自己可控的了。降低風險的方法可以培訓用戶安全意識，盡量選擇靠譜的大公司的服務，一些非常重要的資料不要放到第三方那里。

移動設備

移動互聯網今天已經如此火爆了。手機中通常也會有工作的資料，比如手機登陸了工作郵箱，手機聯系人，甚至郵箱密碼等。不僅僅是丟手機，把手機借給別人會導致信息泄露?，F在手機更新換代都很快，據調查eBay上賣的二手手機，依然保存有私人數據的比例超過50%?？紤]到數據恢復技術，這種風險可能更大。不知道taobao上的這個比例能有多少。前面提到過，手機其實很少有定期打補丁。所以惡意APP導致信息泄露的風險也很高。因為這個是用戶自己控制的設備。所以我能想到的降低風險方法可能就是所謂的制定安全策略，進行安全意識培訓。

解決方案的探討

從SIEM的角度來說可以進行用戶活動監控，管控風險。SIEM簡單來說就是收集環境內的各種設備和應用的安全事件，進行統一解析和關聯分析從而進行風險管理和告警的產品。

用戶活動監控的概念其實我們都很常用。就是QQ賬號異地登陸會有風險提示或者高危操作會鎖定賬號。把這個概念擴展到用戶登陸公司郵箱，登陸服務器等等賬號的活動。下面通過兩個場景看一下這個解決方案的思想。

場景一：社工郵箱密碼

攻擊者先用awvs掃描公司主頁，一番嘗試沒有發現可以利用的漏洞。然后通過whois查詢到網站管理員的工作郵箱。通過一些簡單社工和查詢社工庫獲得了該管理員的常用密碼，很不幸的是這個常用密碼恰好也是管理員工作郵箱的密碼。所以攻擊者順利登陸了管理員的郵箱。那么這個過程中，SIEM看到的是什么過程呢。首先awvs掃描網站，siem獲取到這些網站日志之后，認為這個來源ip在進行嘗試攻擊的行為，會把這個ip加入一個黑名單當中。當攻擊者登陸郵箱的時候，這時候是從一個黑名單IP登陸了高級別的管理員郵箱(可以對不同人員的賬號進行風險評級，就跟對資產進行分級一樣)。系統會發出告警。甚至可以臨時禁用這個郵箱賬號。

場景二：控制員工筆記本獲取到敏感信息

公司員工由于在社交網站上點擊了一個鏈接導致個人筆記本被控制。攻擊者在筆記本上發現了一個公司服務器的ssh賬號。那么攻擊者在登陸服務器的時候SIEM可以做些什么呢。ssh登陸服務器，一般都是在公司內，也就是用內網地址登陸的。所以SIEM可以內置登陸ip的白名單。根據公司的工作習慣，可以設置登陸時間一般是早九點到晚九點。那么當攻擊者登陸服務器的時候，如果沒有用員工電腦做跳板，直接登陸的話。SIEM會看到一個別的地區的ip(比如美國)登陸了我們的服務器，會產生告警事件。如果攻擊者為了隱蔽，選擇在夜深人靜的午夜登陸服務器，那么剛好觸發了在非正常時間登陸的策略，也會產生告警。

由于種種原因，不恰當的地方還請大家多多指正。