数据泄密内鬼现形记!揭示信息审计如此重要
内容导航:警醒:企业高层内鬼现形记!深圳妇幼信息泄露事件虽然已经过去一年,但”企业内部控制基本规范”将在7月实施,这再次提醒我们:当前的企业网络信息正面临各种各样的风险,外部攻击、内网泄露、违规上网行为、应用业务压力风险等等,我们如何才能掌控全局?
作者:草上飞 2009-03-15
警醒:企业高层内鬼现形记!
深圳妇幼信息泄露事件虽然已经过去一年,但"企业内部控制基本规范"将在7月实施,这再次提醒我们:当前的企业网络信息正面临各种各样的风险,外部攻击、内网泄露、违规上网行为、应用业务压力风险等等,我们如何才能掌控全局?
对于企业来说,时刻在保护企业的关键数据信息。然而,除了防护外部的攻击,内部的威胁同样巨大。某银行企业为了保护数据,专门部署了RSA enVision审计系统,某天,监管部门收到了一条奇怪的警报……
enVision报警显示:某高层主管Timak在一小时内创建了一个用户帐号Kpbrady,然后又把它删除了。
Timak是该银行某部门的主管,因业务需要具有银行客户系统的管理员权限。从表面上看,这个举动并没有什么异常。
然而,当我们进行关联分析时,就可判断其为:超级用户的异常活动。
Timak创建了一个帐号,单独的创建动作没有任何的问题,每天会有很多次的创建动作,这是一个正常的操作,他删除了一个帐号也是正常的动作。但是他一小时之内先创建后删除,这就是异常动作。
因为这种嫌疑,通过enVision系统进行追查:
首先,从众多的用户账号中,过滤出用户帐号Kpbrady,并找出这个账号所做的所有行为,包括数据访问、撰写、修改等各种操作。对它进行单独审查、分析。我们通过回放会发现他过去一个小时所有的活动,从他创建到删除的生命周期里他做了哪些事情。
通过审看发现,用户帐号Kpbrady修改了单位Oracle里的数据库。因为Oracle里的数据库是不应该被Kpbrady修改的,也不应该被管理员Timak修改。
由此,审计推断出,这种访问行为是非法的。
紧接着,通过enVision Task Triage证据调查数据库,并借助另外的安全官,联系相关的Oracle的管理员进行恢复操作,然后把整个事情解决掉。
内部危险:我们被自己打倒的?
从以上的记录可见,企业的很多威胁来自于企业内部,特别是特定的人群。让我们再来看一下妇幼信息泄露事件过程:如果这家医院对妇幼资料进行了适当的安全存放,还会走盗走么?如果对之进行了访问控制权限处理,还会发生此事么?如果对妇幼资料的访问进行了访问历史记录,谁还敢把数据拷走?
妇幼信息泄露事件之所以发生,并非外力所为,而是这家医院自身的网络信息系统的管理体制缺陷问题。企业网络除了受外界攻击外,自身的缺陷也是很严重的问题,甚至可以将自己打侄。
对于这种现象,RSA,EMC信息安全事业部中国区资深技术顾问华丹表示,企业审计系统一般不是给通常意义上的IT管理员或者工程师用的,而是面向高层管理员、CIO。因为合规,最后打拍子的话,一定是打在经理或者经理以上的级别,所以它面向的对象,或者说使用它的人一般是IT经理或者是安全部门。
多方位的危险:我们处于内忧外患中
总体而言,在企业关键数据越来越重要的今天,各种然危险是全面的,我们需要立体的了解。
互联网上存在着各种各样的危险,这种危险要能是恶意的,也可能是非恶意的,如因失误而造成的事故;恶意的危险又分为理智型的 ( 如故意偷取企业机密) 和非理智型的( 如毁坏企业的数据) 。总的说来,比较典型的危险主要包括如下几个方面:
1、 软硬件设计故障导致网络瘫痪。
如防火墙意外瘫痪而导致失效,以致安全设置形同虚设;由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等;
2、 黑客入侵。
一些不坏好意的人强行闯入企业网实施破坏;冒充合法的用户进行企业网内部,偷盗企业机密信息和破坏企业形象等等;
3、 敏感信息泄露。
企业内部的敏感信息被入侵者偷看,导致这种状况的有几种原因,如寻径错误的电子邮件、配置错误的访问控制列表,没有严格地设置好不同用户的访问权限等等;
4、 信息删除。
有时网管员对安全权限设置不当,导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。
美国可以说是比较注重网络安全的国家之一,但是根据 IDG 公司的调查报告表明,在所有被调查的公司中,进行常规性安全检查的公司还不到一半,只有 30% 的公司具有跟踪用户访问的能力, 1/3 的公司使用加密技术,其中有60 家左右的公司在三个月内遭受到142 次入侵。美国尚且如此,我们国家的企业网安全现状如何呢?笔者今年年初在北京参加一次安全会议时,有一安全专家对我国企业网的安全状况用"确实应该引起我们警觉"来概括。
合规要求:系统化的审计平台
正是基于以上的种种危险,国家准备在7月推出"企业内部控制基本规范"。该基本规范一大突破是科学界定了内部控制的内涵,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。基本规范强调,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
该基本规范还开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。
在这种背景下,RSA等网络安全厂商针对性地推出了最新版的企业IT审计平台:RSA enVision 4.0。RSA enVision 4.0平台旨在简化合规性,提高安全措施执行和风险减缓的效率和效果,通过对IT日志数据进行自动化的收集、分析、告警、审计、报告和存储来优化IT和网络的运行。除了对来自所有事件源的日志数据的告警进行关联分析,RSA enVision平台的目的是为了能让组织有效地确定潜在的安全问题最有可能在哪里发生。
enVision 4.0是一套闭环的分析系统,它由日志数据收集、关联分析、存储、审计报警等几大环节组成,从而组成了一个完善的信息风险审计的整体平台。
在以上环节中,关联分析非常重要,它是进行审计的重要法宝。如华丹介绍:关联分析,就是把所有的事件拢到一块儿,看它们之间有什么问题。比如"9.11",可能单独某一架飞机撞到大楼,这可能是一个偶然事件。但是如果两个小时之内同时五架飞机撞上大楼,这是有内在联系的,可能是基地组织干得。比如输出密码的动作,你可能觉得是毫无价值的事情,但是你把操作系统整个200台机器拢在一起看,发现半个小时可能有200多个密码输错了,而且来自于同一个客户端,这代表有人猜你的密码,有人在攻击你。
通过及时的审计,我们能够预防外面的危险,更重要的是,我们能够控制来自内部的各种威胁。
附:RSA官方新版enVision审计平台新闻稿(原版,未改动)
RSA发布新版enVision ?提高IT安全执行效率和效果
RSA推出的enVision ?新设备旨在使安全信息和事件管理能更轻松地被中型企业所承受
2009年3月13日-RSA, EMC(纽约证券交易所:EMC)信息安全事业部今天宣布增强版的RSA enVision ?,即市场领先的,用于安全信息事件管理(SIEM)的"3合1"集成日志管理解决方案。RSA enVision 4.0平台旨在简化合规性,提高安全措施执行和风险减缓的效率和效果,通过对IT日志数据进行自动化的收集、分析、告警、审计、报告和存储来优化IT和网络的运行。
除了对来自所有事件源的日志数据的告警进行关联分析,RSA enVision平台的目的是为了能让组织有效地确定潜在的安全问题最有可能在哪里发生。
"安全威胁的快速演变以及对安全专业人员预算的紧缩,意味着我们的用户更加倚重于他们的SIEM系统,以更好地进行威胁确认和信息风险管理",RSA产品部高级副总裁Christopher Young说。"RSA enVision平台通过增强的安全和IT执行能力,在其业界领先的产品中为用户带来一个由其值得信赖的安全合作伙伴提供的更加强大的解决方案。通过提供为中型组织定价和配置的新模块,我们可以帮助这些客户在今天更加紧缩的预算背景下满足他们更高的安全性和合规性要求。"
RSA enVision ?4.0的增强功能
最新版本的RSA enVision包含了一些增强的功能:可以让用户将风险值分配给确定的风险,可以让IT组织调整安全政策、流程和资源的效果。这些增强的功能旨在帮助客户降低安全事件的响应时间,同时提高他们的安全措施执行人员的效率和生产力。其他的新功能包括:
向安全分析师提供关联实时信息的能力:
集成了通用配置管理和漏洞评估解决方案,并提供定期的威胁和漏洞信息,以简化导入最新准确数据并将其映射至当前威胁的流程。
加强了告警功能,以在发现高风险漏洞,或在攻击者试图利用这些漏洞时通知分析师。
提供了改进的关联规则,可以很容易地适应客户的环境,以帮助检测最高优先级的威胁。
简化事件处理流程:
提供专为调查安全问题而设计的界面,分析师可以轻松地对导致事故发生的事件进行评估,并实时监控特定问题的演变。
向安全分析师提供更多的资产和漏洞信息,在分析师调查事件时给他们提供额外的背景信息。
提供与票据系统的闭环集成,自动将事件升级到故障单系统,并且在关闭后将状态送回至RSA enVision平台。这使安全措施的执行流程能更好地切合企业更广泛的运营职能,如服务级别管理。
提高安全措施有效性的可视性:
针对事件如何创建、升级和响应,提供了更加强大的报告,这可以让安全管理人员能够确定事件处理流程中的瓶颈。
在报告中提供了更为丰富的资产和漏洞信息,帮助安全管理人员和分析师评估哪台主机存在着最严重的漏洞或存在着最大的攻击风险,从而对活动作出优先排序。
使管理人员和架构师可以更好的访问风险和攻击趋势信息,以确定哪些安全控制措施正发挥着功效,哪些地方需要追加投资。
安全评估、授权和集成服务:
利用RSA enVision支持安全措施执行的服务包括安全评估与授权服务包。额外的服务还包括与票据系统的集成,以进行事件处理、漏洞和资产管理以及定制的报告。(摘要)
