信息化觀察網(wǎng)

微盟刪庫事件暴露的只是企業(yè)內(nèi)部威脅的“冰山一角”。

“抗疫免費”的全民遠程辦公SaaS營銷大戰(zhàn)塵埃尚未落定，本周曝出的微盟刪庫事件就給中國企業(yè)當頭一記狼牙棒。截至本文發(fā)稿，根據(jù)微盟最新的通告，原有商戶的生產(chǎn)數(shù)據(jù)的恢復要等到28日。對于在線業(yè)務(wù)完全依賴微盟平臺的商戶來說，“心臟停跳”5日后，生產(chǎn)數(shù)據(jù)能否完全恢復，目前看來還是個未知數(shù)。

對于中國企業(yè)數(shù)字化轉(zhuǎn)型的決策者來說，微盟刪庫事件的警示意義不僅是一家知名度極高的云服務(wù)企業(yè)發(fā)生了重大數(shù)據(jù)違規(guī)行為，導致股票市值暴跌12億港幣，也不僅是因為千千萬萬微盟SaaS商戶蒙受了無法估算的巨大經(jīng)濟損失，而是因為該事件暴露的“網(wǎng)絡(luò)安全債”，在大多數(shù)企業(yè)中都普遍存在。

某央企運維總經(jīng)理在接受安全牛采訪時表示：

微盟刪庫事件影響巨大，有可能是一個標志性、拐點性的事件。該事件從架構(gòu)安全、員工行為、內(nèi)外部風險、IT運維數(shù)據(jù)管控機制和制約環(huán)節(jié)等等方面都暴露出巨大問題，再一次拉響了內(nèi)部風險的警報。

但也同時指出：該事件對安全服務(wù)來說可能意味著一個巨大的商機開啟。如果能有一個體系化管控數(shù)據(jù)庫操作各環(huán)節(jié)、各步驟的平臺，特別是涉及到關(guān)鍵指令下達緩解、有操作復核確認，甚至是授權(quán)復核，未來一定會有巨大的市場空間。

坐堂問診：如何根治“刪庫跑路”

對于微盟刪庫事件，安華金和認為根源是目前很多企業(yè)在沒有充足的時間與經(jīng)驗支撐下，倉促“轉(zhuǎn)型”線上遠程辦公模式，因此普遍缺乏完善的運維安全管理體系。

美創(chuàng)科技在接受安全牛采訪時表示：作為距離企業(yè)數(shù)據(jù)最近的角色之一，運維人員正給企業(yè)數(shù)據(jù)帶來了防不勝防的隱患，然而企業(yè)在數(shù)據(jù)安全建設(shè)中往往最容易忽視這一環(huán)節(jié)，存在以下幾個常見問題：

1. 數(shù)據(jù)庫賬號密碼管理缺乏嚴格有效的訪問控制機制；

2. DBA等高權(quán)限得不到管控，易發(fā)生越權(quán)操作行為；

3. 誤操作數(shù)據(jù)后無法恢復，敏感數(shù)據(jù)得不到有效保護；

4. 數(shù)據(jù)庫內(nèi)部操作無法審計，導致數(shù)據(jù)泄露后無法準確溯源。

對于如何預防和管理“刪庫”風險，派拉軟件認為：對于內(nèi)部威脅，企業(yè)需要技術(shù)與管理雙層把控。首先在管理層面上，企業(yè)文化先行，關(guān)懷員工，關(guān)注員工身心健康，普及相關(guān)事件的危險性及犯罪性，運維管理制度要實行雙權(quán)甚至三權(quán)分立，不能一人獨管企業(yè)核心資產(chǎn)運維。

派拉軟件指出，企業(yè)如果能在特權(quán)身份安全上做到以下六點，可有效防范此類事故的再次發(fā)生：

1. 持續(xù)收集并管理特權(quán)賬戶；

2. 多因素認證；

3. 訪問控制（實時監(jiān)控、限時授權(quán)運維、高危命令處理）；

4. 用戶行為分析（風險動態(tài)感知）；

5. 實時監(jiān)控運維動作并通知；

6. 全維度的審計。

齊治科技解決方案專家于遨洋認為要杜絕這類惡意操作事件，必須在運維過程中增強管控，加強對特權(quán)賬號的管控、加強對訪問權(quán)限的控制、加強對高危命令的復核。

從技術(shù)方面來看，美創(chuàng)科技認為“防刪庫”要從集成多因素準入控制、敏感數(shù)據(jù)資產(chǎn)分級分類、危險誤操作審批流程、數(shù)據(jù)動態(tài)脫敏和精準審計五個方面來解決運維環(huán)節(jié)的數(shù)據(jù)安全威脅。

安恒信息網(wǎng)關(guān)事業(yè)群吳焱在接受安全牛采訪時則表示，企業(yè)保護核心數(shù)據(jù)，避免刪庫慘案一再發(fā)生，就必須讓運維更可控、更安全。具體工作有以下三個重點：

1. 針對重點服務(wù)器（包括核心業(yè)務(wù)、核心數(shù)據(jù)等），可以參考雙人授權(quán)的"金庫模式"，通過動態(tài)工單授權(quán)申請審批機制和會話實時控制等方法，確保重點服務(wù)器任何時刻不能被單個賬戶直接操作。

2. 針對普通服務(wù)器，做到事前權(quán)限預分配，通過細粒度的權(quán)限控制、命令管控、多重身份認證等實現(xiàn)事中訪問控制，避免權(quán)限分配不合理導致誤操作、越權(quán)操作帶來的運維安全事故。

3. 運維過程需要全量審計，通過運維審計提供詳細的審計日志給公安機關(guān)作為權(quán)威證據(jù)，鎖定惡意操作者，避免事后無法追查具體的操作人員及操作過程。

針對“刪庫跑路”類事件，安華金和基于企業(yè)運維工作在數(shù)據(jù)庫權(quán)限管理和審批機制上的建設(shè)經(jīng)驗，提出兩個解決思路供安全牛讀者參考：

其一，對數(shù)據(jù)庫賬戶包括DBA高權(quán)限賬戶的數(shù)據(jù)庫運維行為進行有效管理，做到對批量刪除數(shù)據(jù)等高風險操作在事中的有效防控，讓刪庫行為無從下手；

其二，建議制定并嚴格執(zhí)行標準的工單審批流程，以有效規(guī)范運維操作行為；就算運維人員（DBA高權(quán)限賬戶）真的需要“執(zhí)行批量刪除”這種大動作，也必須通過申請并等待審批。

最后，某政府機關(guān)安全主管強調(diào)，預防微盟刪庫事件還有一個關(guān)鍵措施就是加強演練，企業(yè)要制定應(yīng)急演練預案，模擬不同故障場景定期演練，方能保障業(yè)務(wù)的持續(xù)性。

刪庫只是冰山一角：2020是內(nèi)部威脅保護元年

“人的因素”是今年RSAC2020網(wǎng)絡(luò)安全大會的主題，而微盟刪庫事件再次強調(diào)了這一點：企業(yè)面臨的最大威脅往往不是外部攻擊，而是內(nèi)部威脅（包括供應(yīng)鏈風險）。

在安全牛年初發(fā)布的《2020年企業(yè)面臨的20大數(shù)據(jù)風險》一文中，與內(nèi)部（人員）威脅有關(guān)的就多達12條，按威脅等級排列并點評如下：

1. 員工疏忽導致數(shù)據(jù)泄露

2. IT運維管理人員過勞

3. 員工監(jiān)守自盜

4. 危險的個人通訊（使用未加密的消費級通訊軟件和遠程辦公協(xié)作平臺傳輸敏感數(shù)據(jù)）

5. 網(wǎng)絡(luò)釣魚/魚叉式釣魚（尤其是疫情相關(guān)釣魚活動）

6. 員工接受賄賂成為內(nèi)鬼

7. 過于寬松的員工數(shù)據(jù)訪問權(quán)限（特權(quán)賬戶權(quán)限過大且缺乏有效監(jiān)管）

8. 員工買賣數(shù)據(jù)

9. 員工無聊行為（疫情的持續(xù)可加重此類行為）

10. 員工竊取數(shù)據(jù)用于個人職業(yè)發(fā)展（轉(zhuǎn)投競爭對手）

11. 高管離職（又一個特權(quán)賬戶管理問題）

12. 脆弱的密碼

可以看出，微盟刪庫事件的主因“特權(quán)賬戶管理“只是企業(yè)內(nèi)部威脅的”冰山一角“，甚至排不進TOP5。根據(jù)Shred-it的一項調(diào)查研究，40%的高級管理人員表示疏忽和意外是最近一次重大信息安全事件的主因。

員工疏忽會比勒索軟件、釣魚攻擊、商業(yè)間諜、黑客高級攻擊更可怕？是的，例如你的一個重要員工在機場上了一個假熱點，發(fā)郵件時手一滑把敏感信息cc給了陌生人，離開時又遺失了未加密的筆記本電腦。

從本質(zhì)上看，無論是“疏忽”還是“反水”，內(nèi)部威脅都是一個與人員、流程、策略和文化有關(guān)的綜合性風險管理問題，絕不僅限于特權(quán)賬戶和數(shù)據(jù)安全管理。

根據(jù)Forrester去年發(fā)布的《內(nèi)部威脅報告》，86％的組織已著手部署內(nèi)部威脅管理項目，但除了金融服務(wù)企業(yè)和處理敏感數(shù)據(jù)的企業(yè)已經(jīng)建立了較為成熟的內(nèi)部人員濫用管理程序，大多數(shù)企業(yè)仍停留在政策和計劃制定階段，只有三分之一的公司認為其內(nèi)部威脅管理程序已經(jīng)成熟。

報告指出：

2020年，將是企業(yè)把內(nèi)部威脅功能從臨時措施變?yōu)榭芍貜秃涂筛倪M流程的一年。

防患于未然：內(nèi)部威脅保護框架與員工心理關(guān)注

最近幾年，國內(nèi)外數(shù)據(jù)庫誤操作和刪庫事件頻頻發(fā)生：

2019年12月，由于Elasticsearch數(shù)據(jù)庫技術(shù)人員的疏忽，小米生態(tài)鏈企業(yè)，智能家居產(chǎn)品制造商Wyze泄露了超過240萬北美用戶數(shù)據(jù)，導致Wyze在北美市場業(yè)務(wù)和品牌聲譽蒙受巨大損失。

2018年8月，順豐公司一員工接到一個變更需求，因為選錯了實例，將一數(shù)據(jù)庫刪除。因工作不嚴謹導致該系統(tǒng)上臨時車線上發(fā)車功能無法使用并持續(xù)約590分鐘。事后該員工被開除。

2018年4月，VPS服務(wù)商Kuriko因機房技術(shù)人員 rm -rf /*，宿主機上所有數(shù)據(jù)丟失了。

2017年9月，某企業(yè)技術(shù)工程師幫助廣西移動進行擴容割接（即增加系統(tǒng)容量）時，不小心將HSS設(shè)備里面的用戶數(shù)據(jù)格式化刪除，導致廣西移動近80 萬用戶數(shù)據(jù)丟失。

2017年6月，Reddit網(wǎng)站的一位實習程序員手滑誤刪了網(wǎng)站的全部生產(chǎn)數(shù)據(jù)，險些將這個過去五年全球最成功的興趣社交網(wǎng)站從互聯(lián)網(wǎng)上抹掉。當Reddit準備起訴該員工時，整個硅谷的技術(shù)大咖都一致指責Reddit，認為該公司自身糟糕的安全管理才是根本原因。

2017年6月，一家荷蘭海牙的云主機商verelox.com，一名前任管理員刪光了該公司所有客戶的數(shù)據(jù)，并且擦除了大多數(shù)服務(wù)器上面的內(nèi)容。

2018年，“前沿數(shù)控”因生產(chǎn)云數(shù)據(jù)備份恢復失敗而瀕臨倒閉。

2018年北京一軟件工程師徐某離職后因公司未能如期結(jié)清工資，便利用其在所設(shè)計的網(wǎng)站中安插的后門文件將網(wǎng)站源代碼全部刪除。最終徐某因破壞計算機信息系統(tǒng)罪成立，獲刑五年。

2018年杭州科技公司的技術(shù)總監(jiān)邱某因不滿企業(yè)裁員，遠程登錄服務(wù)器刪除了數(shù)據(jù)庫上的一些關(guān)鍵索引和部分表格，造成該企業(yè)直接經(jīng)濟損失225萬元，后被判賠償公司8萬元，判刑2年6個月，緩刑三年。

致命的刪庫（跑路）事件反復上演，暴露出“打地鼠”式的安全管理思路并不能解決根本問題，企業(yè)需要“把內(nèi)部威脅功能從臨時措施變?yōu)榭芍貜秃涂筛倪M流程”，關(guān)鍵是要找到合適的內(nèi)部威脅成熟度參考框架，并在企業(yè)戰(zhàn)略和風險管理設(shè)計層面將安全作為重要的原生要素考慮，即所謂的安全設(shè)計和原生安全。

早在2018年，受拉德利曼寧和斯諾登事件的刺激，美國司法部長和國家情報總監(jiān)聯(lián)合領(lǐng)導下的國家內(nèi)部威脅特別工作組(NITTF)發(fā)布了一份新的《內(nèi)部人員威脅項目成熟度框架》。該框架的目的是幫助政府部門和企業(yè)大大提升其ITP（內(nèi)部威脅保護）的有效性，變得更主動、更全面、更能威懾、檢測和緩解內(nèi)部人員威脅風險。

除了內(nèi)部威脅治理的框架和管理程序外，IT運維人員的心理問題，例如壓力和倦怠，往往也是企業(yè)風險管理的盲區(qū)。其實，通過員工心理和語言行為分析，是可以及早發(fā)現(xiàn)和預防怠工破壞行為的。

2017年情報與國家安全聯(lián)盟(INSA)曾發(fā)布一篇論文提出，心理語言學分析可用于事前檢測內(nèi)部人員威脅的發(fā)展脈絡(luò)。

論文討論了所謂的怠工行為(CWB)，斷言惡意內(nèi)部人不是天生的，是生活和工作壓力迫使他們成為了惡意內(nèi)部人士。不斷升級的怠工行為可通過對電子郵件、個人博客、聊天內(nèi)容和朋友圈的心理語言學分析加以檢測——其理論就是：可以在員工演變?yōu)閻阂鈨?nèi)部人之前預先檢測出來，并施以幫助，防患于未然。

遠離不穿褲子的云：SaaS供應(yīng)商安全性評估

疫情期間，大量SaaS應(yīng)用紛紛打出抗疫免費牌，面對漫天的餡餅，很多企業(yè)迷失了方向。其實，企業(yè)選擇SaaS云服務(wù)的主要目的不是為了省錢，而是為了在安全穩(wěn)定的基礎(chǔ)上提高企業(yè)敏捷性（例如支持遠程團隊）、效率和生產(chǎn)力。由于SaaS產(chǎn)品存在鎖定成本，即使是中小企業(yè)和創(chuàng)業(yè)團隊，選擇供應(yīng)商時也應(yīng)該高度重視供應(yīng)商安全性評估。

例如，微盟出事了，并不意味著慌慌張張?zhí)嫌匈澋拇鸵欢ǜ踩ɑ虿话踩?，企業(yè)必須清楚，云服務(wù)商承諾的“n個9”和備份服務(wù)，并不能確保數(shù)據(jù)安全，企業(yè)應(yīng)當對包括云服務(wù)商在內(nèi)的供應(yīng)鏈第三方供應(yīng)商，主動進行充分的安全性評估，并形成一個固化的標準安全流程。

從執(zhí)行層面來看，設(shè)計調(diào)查表是安全評估的關(guān)鍵環(huán)節(jié)，安全咨詢公司Tripwire曾對包括SaaS服務(wù)商在內(nèi)的第三方供應(yīng)商安全評估（VSA）的調(diào)查表內(nèi)容給出了幾點建議，這些建議同樣適用于供應(yīng)鏈上的其他企業(yè)，具體如下：

1

數(shù)據(jù)資產(chǎn)分類

使數(shù)據(jù)處于“需要知道”的最小化授權(quán)體系中。這不僅包括訪問驅(qū)動器共享文件夾，還包括Git，Salesforce和Confluence等應(yīng)用程序。它還確保僅將工具內(nèi)的適當訪問權(quán)限授予正確的員工。雖然使用上述工具的開發(fā)運維人員面對信息孤島和安全控制流程常感沮喪，但是通過防止過分授權(quán)數(shù)據(jù)訪問和操作，企業(yè)可以保護數(shù)據(jù)免受各種威脅。如果員工只能從受限制的位置進行數(shù)據(jù)檢索，他們將時刻銘記應(yīng)當謹慎處理此類數(shù)據(jù)。

2

人員聘用和解雇的安全程序

是不是經(jīng)常有搞IT的朋友跟你說，嘿哥們，想不想知道我?guī)啄昵白龅膞x項目的后臺數(shù)據(jù)，我那個路由器/數(shù)據(jù)庫管理賬戶還能用。事實無數(shù)次表明，人員威脅管理依然是評估供應(yīng)商的最重要的標準之一，SaaS供應(yīng)商需要證明相關(guān)工作人員的入職和離職流程有效，尤其是確保離職員工或解約承包商無法再登錄查看任何數(shù)據(jù)。SaaS服務(wù)、應(yīng)用市場、電商平臺工作人員因受賄瀆職導致的企業(yè)數(shù)據(jù)泄露事件，已經(jīng)數(shù)不勝數(shù)，因此，企業(yè)應(yīng)當要求SaaS供應(yīng)商和合作協(xié)議中明確界定數(shù)據(jù)訪問權(quán)限、清洗條款和時限、人員就職離職程序有效性和安全性等。

3

數(shù)據(jù)備份

有很多緩解風險的方法，其中最重要的就是對系統(tǒng)進行良好的備份。云服務(wù)商會承諾你多重備份，但是你應(yīng)當明白，很多時候云服務(wù)商自己也分不清“能”和“會”的區(qū)別。

4

服務(wù)器強化

對于任何生產(chǎn)系統(tǒng)，運行軟件的服務(wù)器必須確保安裝最新的補丁程序并符合具其他安全標準。這聽上去像是廢話，但是請記住，很多時候，測試或?qū)嶒灜h(huán)境服務(wù)器最終會通過一系列人畜無害的步驟成為關(guān)鍵任務(wù)服務(wù)器。

5

安全意識

是否所有員工在入職和工作期間都得到了定期的，足夠有效的安全培訓？如果企業(yè)不能定期提醒員工并練習其安全意識技能，例如通過模擬的網(wǎng)絡(luò)釣魚電子郵件攻擊，則企業(yè)安全的“人肉”環(huán)節(jié)將很容易受到打擊。