正在阅读:

企业安全:员工行为难管控(一)

863

近期想讲一些我看到企业安全最严重威胁和运营痛点,不出意外,这会是一个系列,里面讲到的所有观点和案例,都是通过实践而来,会基本覆盖我的核心安全观。每天只写1000字左右,没写完的痛点拆开写,文章后面附上一张我们给客户的安全意识墙面小贴士。

以往,不管是安全甲方还是乙方,安全工作都是围绕应用跟操作系统去做,比如WAF、IPS、SDL等,解决的都是系统跟应用的问题,所以应用跟操作系统的漏洞越来越少。而唯独只有我跳出来做一家公司解决人的问题,因为在近年我通过渗透测试服务发现,最大的问题不在于系统和应用,而在于人,一切问题都源自于人,人的行为和意识错误导致漏洞频出,今天就说说员工的行为难管控的问题。

员工行为难管控体现在如下几个方面,有没有发生过此类事件可自行对号:

1、滥用云笔记及网盘(重灾区)

将vpn密码、wifi密码、服务器密码、阿里云或运营后台密码…记录在个人云笔记、网盘、icloud,技术岗位的人最爱干这事,而且这个行为一旦犯了就会导致企业被直接入侵,什么waf、ips在这种情况下都是摆设。互联网企业的员工,基本上70%以上的员工都会用这些东西,特别是权限多的研发、运维岗位,在以往给客户实施渗透测试服务时,通过这种方式屡试不爽,越是大公司在这块威胁越大,为什么?因为员工多啊,总有X一样的队友。如果员工在公司办公,则能在路由上就能对这些云服务进行禁止访问,但是有几个员工不会把电脑带回家办公呢?这种情况下很难限制员工的行为。

来看看乌云上的案例。

a、极客学院某员工印象笔记

极客学院

b、豌豆荚某员工印象笔记

豌豆荚

2、将公司代码存储在Github、oschina、Bitbucket等。

这个行为是研发岗位常犯的错误,稍微大一点的互联网企业几乎无一幸免,可以去乌云网搜索一下“github”看看结果。这些泄露的代码有什么危害呢?代码里面包含的邮箱密码、数据库密码,一旦被搞渗透的人拿到,直接登陆企业邮箱,翻到VPN密码,连接数据库,轻轻松松就能把数据库给拖掉,这样的案例太多太多。

a、金立员工将代码存放到github。

金立

3、员工企业邮箱与外部个人账号密码一致。

密码通用的习惯,据经验大概95%以上的人都这么干,在早之前曝光的网易5亿的会员数据泄露等此类事件,曝光的任何一份数据其实在N年前就已经在地下流传,只是有的人不多,民间有的人甚至将国内知名企业都入侵了个遍,手上偷回来的数据达大几十亿条。

试想,中国网民才多少,也就意味着,你只要一出生,别人手里就拿着你的信息,你只要一上网,别人就知道你密码是多少!永远都不要在这些人面前谈隐私两个字,人家只会在心里呵呵一下。

一个技术岗位的员工,像研发、运维、测试、安全,或者非技术岗位的客服、运营,员工入职的时候,交接文档有没有?交接文档里面有什么?服务器密码、后台地址密码、阿里云密码等等,不仅有,还注释的清清楚楚、明明白白。另外技术岗位基本都有VPN权限,邮件列表里面一搜“VPN”,密码妥妥的,就算没有,随便编个理由给网络负责人发个申请VPN的邮件,一会儿的时间妥妥的给你把VPN开通好。

小贴士

原文链接:http://www.cnseay.com/4434/

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌