斬斷伸向企業數據的黑手

關鍵詞：信息安全 數據安全 信息泄露 高級持續性威脅

現代社會已經全面進入了信息化時代，電腦與互聯網已經是企業日常生產經營中無法脫離的工具。廣大企業在利用信息技術提高生產效率的同時，也往往對信息系統安全，尤其企業核心數據的安全如何防護十分擔心。

從近些年企業數據安全事件來看，信息安全防護情形不容樂觀。

案例一：2011年6月，國內某裝備制造業領軍公司頻遭黑客攻擊造成數據泄露，經查，為競爭對手以每月數萬價格雇傭黑客入侵辦公自動化（OA）系統，竊取大量的商業秘密。

案例二：2012年1月，亞馬遜旗下美國電子商務網站Zappos遭到黑客網絡攻擊，2400萬用戶的電子郵件和密碼等信息被竊取。而且讓人堪憂的是，部分網站的密碼和用戶名稱是以未加密的方式儲存在純文字檔案內，意味著所有人都可使用這些信息。

案例三：2012年8月，上海數十萬條新生兒信息遭倒賣，據了解，信息是由上海市衛生局數據庫外包維護工作人員泄露。

案例四：2013年3月，東軟集團被曝商業秘密外泄，約20名員工因涉嫌侵犯公司商業秘密被警方抓捕。此次商業秘密外泄造成東軟公司損失高達4000余萬元人民幣。

案例五：2014年3月，烏云漏洞平臺發布消息稱，攜程網用戶支付信息出現漏洞，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡卡號、銀行卡CVV碼等。

案例六：2014年8月15日，國內虛擬貨幣交易所比特兒遭到攻擊，被盜5000萬個NXT（未來幣），按照目前每一枚NXT 0.2073元的價格計算，如果不能收回損失，交易所將虧損1000萬元。

這些安全事件發生在不同行業，產生的原因也不同，總結下來有四類：

1. 來自于內部人員泄漏。

由于對內部企業數據訪問管理和防護失當，以致內部人員能夠輕易的利用數據牟取不法私利。

2. 來自于外部黑客攻擊。

新的系統漏洞在不斷地被發現，如果企業沒有能力應對黑客的挑戰，往往會遭受極大損失。

3. 來自于應用系統不完善。

企業未經嚴格審核向外發布的互聯網應用有重大的安全漏洞或者安全隱患，比如重要數據信息未加密等。影響較大的還有中國鐵路客戶服務中心12306網站在上線之初就被發現有漏洞泄露用戶信息，可查詢登錄名、郵箱、姓名、身份證號碼以及電話號碼等隱私信息。

4. 來自于第三方服務公司泄漏。

有些機構或企業沒有足夠技術能力，運維是外包給第三方公司完成的，但未能定時監督第三方運維公司對信息數據的各種操作，使得企業數據安全不得不僅僅依靠第三方運維公司其自身的職業操守和職業道德，這種缺乏流程監督的操作顯然是極為不可靠的。

以上的信息安全事件，揭露了信息泄露的主要途徑。其中，黑客入侵屬于網絡安全的外部隱患，而其他方面卻主要歸結于內部信息安全管理防護差，管理措施的缺失、監管環節的薄弱、信息安全防護水平的偏低等因素，使得不法之徒有機可乘。前車覆，后車鑒，隨著信息安全形勢更加嚴峻，在市場競爭激烈的今天，企業保護自身核心數據安全必須成為重要的工作。

可是對于企業而言，核心數據的安全防護卻有著格外的困難。

當前，以高級持續性威脅（Advanced Persistent Threat，APT）為代表的數據泄露是企業級信息安全面臨的主要挑戰，嚴重威脅著企業信息資產安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種“網絡間諜”的行為。

“潛伏性”和“持續性”是APT攻擊最大的特點，APT以目標網絡中的用戶為切入點，利用社交工程實施攻擊，繞過傳統被動安全方案（如防病毒軟件、防火墻、IPS等），并更長時間地潛伏在系統中，長期進行有計劃性、組織性的竊取情報行為，讓傳統防護體系難以應對。

同時，隨著計算機網絡硬件設施成本的降低，企業信息化程度越來越高，公司制度、發展規劃、會議紀錄、財務數據、商業合同、客戶信息這些對企業極其重要的數據都存儲在硬盤上。另一方面當前大多數企業開始地從勞動密集向技術知識密集轉型，公司的設計方案、工程圖紙、程序代碼、科研成果這些代表企業核心機密的數據尤其需要保護。

然而中小型企業對于信息安全的防護力量卻難以保障：很少有企業雇傭信息安全專員，而是只有IT維護人員；很少有企業有完善的信息安全制度，即便有也很難執行，因為會影響工作效率；很少有企業長期購買信息安全服務，但往往當信息安全事件已經發生時再應急響應已經來不及。

這類企業對于數據安全需求有這樣的特點：

高效性，數據安全解決方案決不能以犧牲生產力為代價，在設計安全管理解決方案之前，首先應對具體企業實際業務需求做詳細的評估。目標應是能夠保障、提升企業生產能力，為企業創造更高的效益。在確保高生產力的目標實現的前提下，企業的安全解決方案應實現盡可能的簡化，對于安全架構人員和安全實施人員而言，將減少很多后續的管理和維護工作，對于企業終端用戶而言，不要花費太長時間的培訓，用戶即能夠應用、升級、維護現有的安全防護。

可控性，安全解決方案的效果應具有明確的效果，讓企業對于安全的投資有直觀的認識，方便企業做判斷和選擇，包括安全的可控性、成本的可控性和擴展的可控性。

對策建議：預設打擊，站在攻擊者的角度思考和解決問題

傳統安全方案以被動防護為主，以“網域”中的各個物理節點為防御陣地，層層設防，通過安裝防病毒軟件、防火墻、安全代理等在不同部位逐層設防，其技術手段滯后于黑客技術的發展，部署方式也為黑客所熟知，可以被黑客有針對性地逐一突破，已經難以滿足數據安全保障的基本需求。

最好的防御就是進攻，網絡安全領域就是如此，網絡安全事件的生命周期包括滲透、控制、竊取三個基本階段。滲透階段包括信息搜集與用戶攻擊，攻擊者明確攻擊對象，利用社會工程實施滲透攻擊。控制階段包括主機控制與內網控制，攻擊者通過權限提升和控制木馬實現對本地主機和內網存放敏感信息的重要服務器（如郵件服務器）的控制。竊取階段包括信息挖掘和數據外傳，攻擊者為確保獲取最有價值的數據不斷搜索和分析，并將敏感的重要數據回傳。

為此，可以通過研究黑客的攻擊方法和技術手段，采用“預設打擊”的理念對不同攻擊階段進行反滲透、反控制、反竊取，對在黑客攻擊的不同階段進行全程對抗，對不同攻擊行為進行全時覆蓋、全域監測、全源感知，實現對安全事件的全生命周期檢測，并通過與傳統安全應急響應服務和安全阻斷防護系統的聯動實現對安全事件的處置。

對滲透階段的檢測，對涉及用戶的各種外部數據入口實施檢測，對攻擊者可能采用的攻擊通道、攻擊載體和攻擊載荷進行檢測。

對控制階段的檢測，對攻擊者控制主機和控制內網的過程進行檢測，發現攻擊者實施的木馬控制、權限提升、內網拓展等控制行為。

對竊取階段的檢測，對非正常搜集數據和回傳數據的過程進行檢測，發現攻擊者訪問內部網絡敏感數據存儲部位、挖掘內部網絡敏感信息和非法傳輸敏感數據至外部的行為。

全時覆蓋，針對攻擊者在不同階段的手法、行為和數據特點采用針對性的檢測手段，與攻擊者進行全程對抗。全域監測，將檢測手段覆蓋所有計算節點和通信節點，實現一點觸發，全域聯動。全源感知，綜合分析網絡通信、用戶行為、文件流等各類信息源，實現對網絡內已知或未知威脅的感知。

結語

云計算和大數據為企業利用信息技術實現跨越式發展提供了寶貴機遇，但也為企業信息資產安全帶來了巨大挑戰。通過科學的數據安全解決方案和有效的信息安全管理，我們可以防止大多數的安全事故，即便有來自外部的攻擊，也有能力及時發現和響應，切不可疏于防范，導致追悔莫及。