CIO无忧信息安全 12项措施防“家贼”

内部人员攻击所占的比例也许不高,但它所造成的危害却非同小可。令人担忧的是,内部人员攻击变得日益复杂,越来越多的内部人员使用rootkit或黑客工具,并且其攻击行为日益自动化。本文将讨论如何保护网络,防御这种日益复杂的攻击。

简述内部人员攻击情形

内部人员攻击,从其定义来说,是由可以合法访问公司网络和系统的人员所执行的攻击。这些内部人员可能是对公司不满的员工,受到金钱诱惑从而使用各种攻击窃取信息的员工,临时为公司工作同时担当商业间谍的雇员,或者是某个滥用网络特权的其它任何人。

具体情形包括:

1、故意用恶意软件或病毒等感染公司的计算机和网络,从而影响工作效率。

2、引入间谍软件、键盘记录器及其它类似软件,目的是为了获得同事们正在干什么的信息。

3、窃取口令,冒充他人登录到公司网络,事实上就是窃取员工的身份。

4、在没有获得授权的情况下,复制公司的机密信息,并带出去或发送出去。

制定安全策略防御内部人员攻击

正如零售公司都采取预防措施来防止雇员窃取现金或财产一样,处理重要电子数据的企业需要考虑数据泄漏保护(DLP)系统。不同的厂商有不同的DLP产品和技术,但是一套全面的策略要比仅购买和安装一个DLP设备更具意义。

1、实施一套专用的DLP设备或软件。DLP设备或软件允许管理员跟踪公司的数据流向,可通过实时方式或通过收集信息,并将其总结在每天或每周的报告中。你可能需要一个能够截获并读取SSL或其它加密消息的DLP系统,否则用户就可以加密数据并将其发送到网络之外。注意,DLP的一个缺点是它可能会影响网络性能。

2、配置防火墙,双向解决通信问题。多数现代防火墙能够过滤进入和转出的通信,不过,许多防火墙的配置却只能控制前者。管理员需要设置防火墙的向外转发规则,使其明确的仅准许匹配标准的通信可以通过。例如,你可以阻止使用特定端口号的外发通信。

3、使用网络内的数据包检查。DLP设备和防火墙专注于发往网络之外的通信。例如,在一个用户从服务器下载一个他不应当或不需要访问的文件到自己的电脑上时,你可以使用NAV工具,用来检查在内部网络迁移的数据包内容。NAV工具可以深入检查数据包的内容,并查找一个文档或文件内的特定词语或数据类型(如账号)。不过,NAV产品与DLP一样,可能会降低网络性能。

4、使用带有内容过滤功能的邮件安全产品。例如,你可以使用电子邮件安全产品中的内容过滤特性来阻止那些包含某些关键字的消息,或者阻止用户发送附件,从而防止内部人员将机密信息发送到网络外部。

5、数据加密。即使他们已经成功截获了数据并将其带到了网络外部,加密敏感数据将会使网络内部人员在访问和读取信息时更为困难。

6、最少特权。为实现最佳的安全和对内部人员的最好防护,务必保证仅给用户最有限的特权,使其仅能用这些特权完成所需工作。在配置DLP产品或防火墙的发出规则时,该原则也适用,刚开始应当先阻止所有的访问,然后仅准许那些确实需要的访问,而不应该反过来,先准许所有的访问随后再有选择地限制某些访问。同样,访问加密数据的密钥只能给与那些工作职责要求访问这些数据的用户,而不是给所有的雇员或有特殊地位的用户。

7、文件访问审核。实施文件系统的访问审核有助于检测用户是否正在访问他们完成其工作时并不需要的信息。

8、职责或职务的分离。该策略确保任何人都无法单独处理一项重要业务(如货币资金的转账)。某个人也许能够启动某个过程,但如果没有其它人的授权就无法完成。这会提供一种检查机制,从而防止具有欺诈意图的雇员或渗透进入公司的间谍的不法行为。

9、控制USB设备。DLP、防火墙、邮件内容过滤器有助于防止内部人员将敏感的公司信息发送到网络之外。然而,可移动的USB设备常被内部人员用于复制敏感的公司信息,并带到公司之外。为防止这种现象,你可以禁用那些并不绝对需要USB设备的系统上的USB端口。你可以使用Windows的组策略或第三方的软件来限制或阻止USB设备的安装。如GFI的Endpoint Security可用于管理用户访问,并记录USB设备、CD、闪存卡、MP3设备、智能电话、PDA以及通过USB端口连接到计算机的其它设备的活动。

10、权限管理服务。权限管理允许你管理用户的数据访问权,有助于防止用户与无权访问这些数据的用户共享数据。Windows的权限管理服务(RMS)准许你阻止文档的复制或打印,阻止转发或复制电子邮件消息等等。Windows还可以阻止对受保护的文档或消息执行快照。对于内部人员来说,盗用受保护的信息会变得更加困难。

11、变更管理。配置和变更管理工具有助于在雇员对系统做出配置变更时进行确认,防止访问他不应当访问的信息。市场上有不少产品可以跟踪网络上的变化。

12、身份管理。因为访问特权是根据用户身份来授予的,所以很有必要部署一个身份管理系统。在当今的网络环境中,这尤为重要,因为由于公司的合并或将数据迁移到云中的趋势都会使问题复杂化。

最后,以上这些仅仅是你可用来防护内部人员威胁的基本措施,防御内部人员攻击还需要完善的安全策略和各方面的共同努力。