解读:触目惊心的企业间谍攻击实例

前些年,电脑间谍案还没有现在这样猖獗,我大概每年只会碰到一两个案件。大约三四年前恶意软件开始走向专业化后,间谍案的发案频率开始迅速上升。今天,计算机间谍和恶意软件已经携手并进。

但更令我惊讶的是,许多企业并没有意识到如今木马和蠕虫的严重性,它们已经给太多的公司造成了严重的经济损失。最近我在很短的时间里处理了五起间谍案。这些完全不同的案例充分说明了当前的企业在面对间谍攻击面前的苍白和荒谬。

间谍攻击就在你身边!

第一个是最简单的–典型的公司内部数据盗取。某位大酒店的高级副总裁在完整下载客户列表与高级数据库时被抓获,他打算把这一信息带到新的公司,在那里他被任命为CEO。

这个高级副总裁能被逮住几乎完全是运气在帮忙。凭借高管身份,他经常能够以需要第三方处理为由而得到大量数据,这通常不会受到怀疑。但是这一次,他并没有通过正常渠道,而是直接找到负责数据库的IT员工,并匆忙地要求把"一切数据"提取出来。警觉的数据库管理员把他的可疑行为报告了老板,于是整个计划被揭开。

第二个案子是一个外包项目的电话营销员。她被抓获使用客户信用卡资料购买电脑设备,供个人使用和转售。这个小偷是特别愚蠢的,因为她把所有的不义之财的收货地都填写了真正的家庭住址。当被抓获时,她交出了一张DVD,那里装有公司的整个SQL数据库,一共有200多万个信用卡号码和完整客户信息。

第三个间谍案是窃取竞争对手的投标信息。这次的主角是一位前雇员,离职后开办了自己的公司。他在几年前得知CEO的密码,而这个密码在几年里从没变过。在每一次竞标中,他都会了解到前雇主的投标,所以总能以少量的优势压过他们。在间谍案被破获时,我们在CEO的桌面上发现了一个GoToMyPC(一种远程桌面控制软件)的快捷图标。

这位CEO注意到这个GoToMyPC已经很多年了,但他以为是企业的IT员工正常安装的。搞笑的是,IT员工们也知道CEO安装了它,并且在背地里好几次谈论到–他们对CEO这样使用这种非正规的远程访问明目张胆绕过防火墙的滥用权力行为感到如此厌恶!

这听起来是不是有些滑稽可笑?但通过这个我们可以了解到在今天忙碌的世界中,这样的事可能发生在任何一家公司。这个间谍案的结果是公司失去了一半以上的合同,并被迫大批裁员。

后两个间谍案不涉及企业竞争,但它们足以给我们带来经验教训。在51CTO.com看来,造成这样的原因,有两方面,首先是企业对IT系统的监管力度是否足够,这决定了企业内部IT系统的可靠性;其次是企业是否有比较完善的信息等级保护制度,不能因为你是CEO就可以乱改IT系统,一定要有审查和保护制度,才能较好的保护企业关键数据。

一个是家庭纠纷。在一个涉及数百万美元的离婚谈判期间,丈夫在表面上表现得只知道妻子和她律师的正常信息。但他不小心提到了妻子的秘密法律文件中的一项错误,而妻子刚刚纠正了这个错误。这使她和她的律师立刻意识到丈夫一定有办法能够获得律师事务所的内部文件。他们提请了法院搜索,结果在丈夫律师的电脑里发现了专业的间谍软件,远程IP地址追查到了丈夫的新房子。

最后一个例子是纯粹的卑鄙。一位在网上炒股的股民的家用电脑被远程木马控制。一天早晨,远程攻击者登入了网上交易帐户进行了金额巨大的短线操作。结果受害者失去了账户中的一切,他正在试图与网络证券商沟通以挽回一点损失。此前,51CTO.com安全频道也曾对个人网银交易和数据安全方面进行了多篇报道。

所有这些事件都没有向媒体通告,那位电话营销员已被控以刑事诉讼,而非法竞标案至今悬而未决。这些企业或个人在之前都决不相信自己会是计算机金融犯罪的受害者,但他们的确已经蒙受了巨大的经济损失。

应对间谍,IT部门必须负起责任

那么,你可以做些什么来防范计算机有关的间谍活动和数据盗窃?除了正常的桌面恶意软件防范技术以外,还应该考虑更多的解决方案。此前,51CTO.com安全频道曾有相关企业数据保护方面的专题,针对企业数据隐私,里面有详细的介绍。

第一件事是要让管理层认识到,企业间谍活动是严重的威胁。对它制定前期防范计划和后续保护行动应该作为必不可少的一部分纳入到公司的风险管理之中。

IT部门应该尽量限制远程访问的方式。这种方式应仅以维持公司需要为标准,防止使用未经批准的解决方案。如果发现未经批准的应用程序,即使是在CEO的电脑上,IT部门也必须做出询问。

追踪大流量数据下载。任何非IT员工从内部数据库下载千兆字节的数据在大多数情况下都是不正常的。有些应用程序可以跟踪这种异常的操作并发出警报。使用数据泄漏保护程序可以防止有意和无意的数据泄漏,在这方面,市场领先的解决方案已经越做越好。

密码必须设置得长一些(10个或更多字符),而且要经常改变。当一个高级员工离职时,他所知道的每项密码必须立即改变。我仍然对很多公司正在执行的密码更改策略感到不可理解,它们把包袱甩到IT管理身上。通常的情况是,IT部门关闭掉密码的历史功能(password history),防止相同的密码长时间重复使用并且对过期的密码提示更改。而我认为IT部门为此花费了太多的精力,手动更改一下密码真的那么费事吗?

电脑间谍已经不算是尖端的犯罪了。它已经实实在在的进入到了我们的现实生活,任何企业或个人用户都有可能受到它的严重伤害。

顺便说一句,在上面的非法竞标案中,犯罪者被判处了几年的监禁,而受害公司被判获得数百万美元的赔偿–但这并没有解决任何问题,因为犯罪者的公司已经宣布破产没有钱归还。上周我在飞机的头等舱碰巧看到了被保释出狱的罪犯。从他的衣着和随身的高科技装备上看,他似乎恢复得比受害者更快。