IT技術互動交流平臺

企業安全:員工行為難管控(一)

作者:佚名  發布日期:2016-07-22 21:52:36


近期想講一些我看到企業安全最嚴重威脅和運營痛點,不出意外,這會是一個系列,里面講到的所有觀點和案例,都是通過實踐而來,會基本覆蓋我的核心安全觀。每天只寫1000字左右,沒寫完的痛點拆開寫,文章后面附上一張我們給客戶的安全意識墻面小貼士。
以往,不管是安全甲方還是乙方,安全工作都是圍繞應用跟操作系統去做,比如WAF、IPS、SDL等,解決的都是系統跟應用的問題,所以應用跟操作系統的漏洞越來越少。而唯獨只有我跳出來做一家公司解決人的問題,因為在近年我通過滲透測試服務發現,最大的問題不在于系統和應用,而在于人,一切問題都源自于人,人的行為和意識錯誤導致漏洞頻出,今天就說說員工的行為難管控的問題。
員工行為難管控體現在如下幾個方面,有沒有發生過此類事件可自行對號:
1、濫用云筆記及網盤(重災區)
    將vpn密碼、wifi密碼、服務器密碼、阿里云或運營后臺密碼…記錄在個人云筆記、網盤、icloud,技術崗位的人最愛干這事,而且這個行為一旦犯了就會導致企業被直接入侵,什么waf、ips在這種情況下都是擺設。互聯網企業的員工,基本上70%以上的員工都會用這些東西,特別是權限多的研發、運維崗位,在以往給客戶實施滲透測試服務時,通過這種方式屢試不爽,越是大公司在這塊威脅越大,為什么?因為員工多啊,總有X一樣的隊友。如果員工在公司辦公,則能在路由上就能對這些云服務進行禁止訪問,但是有幾個員工不會把電腦帶回家辦公呢?這種情況下很難限制員工的行為。
來看看烏云上的案例。
a、極客學院某員工印象筆記

b、豌豆莢某員工印象筆記

2、將公司代碼存儲在Github、oschina、Bitbucket等。
這個行為是研發崗位常犯的錯誤,稍微大一點的互聯網企業幾乎無一幸免,可以去烏云網搜索一下“github”看看結果。這些泄露的代碼有什么危害呢?代碼里面包含的郵箱密碼、數據庫密碼,一旦被搞滲透的人拿到,直接登陸企業郵箱,翻到VPN密碼,連接數據庫,輕輕松松就能把數據庫給拖掉,這樣的案例太多太多。
a、金立員工將代碼存放到github。

3、員工企業郵箱與外部個人賬號密碼一致。
密碼通用的習慣,據經驗大概95%以上的人都這么干,在早之前曝光的網易5億的會員數據泄露等此類事件,曝光的任何一份數據其實在N年前就已經在地下流傳,只是有的人不多,民間有的人甚至將國內知名企業都入侵了個遍,手上偷回來的數據達大幾十億條。
試想,中國網民才多少,也就意味著,你只要一出生,別人手里就拿著你的信息,你只要一上網,別人就知道你密碼是多少!永遠都不要在這些人面前談隱私兩個字,人家只會在心里呵呵一下。
一個技術崗位的員工,像研發、運維、測試、安全,或者非技術崗位的客服、運營,員工入職的時候,交接文檔有沒有?交接文檔里面有什么?服務器密碼、后臺地址密碼、阿里云密碼等等,不僅有,還注釋的清清楚楚、明明白白。另外技術崗位基本都有VPN權限,郵件列表里面一搜“VPN”,密碼妥妥的,就算沒有,隨便編個理由給網絡負責人發個申請VPN的郵件,一會兒的時間妥妥的給你把VPN開通好。
今日結束,期待明日,敬請關注微信公眾號【互聯網安全與創業】。
企業安全墻面小貼士:

Tag標簽: 員工   企業  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
彩票联盟网站 高雄县| 错那县|