每經(jīng)記者 朱成祥 每經(jīng)編輯 梁梟 孫志成
“生活不如意”���,程序員“刪庫跑路”�����;幾行代碼�,上市公司二十多億市值蒸發(fā)。這不是小說��,而是遠(yuǎn)程辦公環(huán)境下�����,IT運(yùn)維人員給公司帶來真真切切的損失�。
疫情之后,“遠(yuǎn)程辦公”在全球爆發(fā)式增長�����,許許多多的傳統(tǒng)企業(yè)也開始了數(shù)字化轉(zhuǎn)型�����。同時�,“遠(yuǎn)程辦公”也給企業(yè)管理帶來了新的挑戰(zhàn),即如何把數(shù)字安全握在自己手中����。在企業(yè)數(shù)字化轉(zhuǎn)型大背景下����,數(shù)據(jù)庫�、數(shù)據(jù)資產(chǎn)的重要性愈發(fā)明顯。因此�����,就重要性來說�����,如今IT運(yùn)維人員已堪比掌握公司資金流的財務(wù)人員�����。
對于握住“數(shù)據(jù)命脈”的IT運(yùn)維人員��,公司又應(yīng)該怎樣有效約束呢��?堡壘機(jī)便是方法之一����。
“數(shù)據(jù)命脈”的重要性:員工惡意“刪庫”致2260萬損失
對于任何一個企業(yè)而言,數(shù)據(jù)安全的重要性不言而喻�。然而當(dāng)真正遭遇程序員“刪庫跑路”這種惡性事件時,有些企業(yè)的應(yīng)對仍然是手忙腳亂����。
2020年2月23日,港股上市公司微盟集團(tuán)(2013�����,HK)一位IT運(yùn)維員工賀某因“生活不如意�����、無力償還網(wǎng)貸”等原因���,在其個人住所通過電腦連接公司虛擬專用網(wǎng)絡(luò)�、登陸公司服務(wù)器后執(zhí)行刪除任務(wù)�,4分鐘便將微盟服務(wù)器內(nèi)數(shù)據(jù)全部刪除。
“刪庫”的后果是����,300余萬用戶無法正常使用微盟SaaS產(chǎn)品,故障時間長達(dá)8天14個小時��。截至2020年4月30日,造成微盟支付恢復(fù)數(shù)據(jù)服務(wù)費(fèi)���、商戶賠付費(fèi)及員工加班報酬等經(jīng)濟(jì)損失共計2260余萬元����。
賀某是惡意“刪庫”�,給公司帶來巨額損失。但I(xiàn)T運(yùn)維人員為了方便工作的無心之舉���,也可能嚴(yán)重干擾公司正常經(jīng)營��。2018年12月,Z醫(yī)院發(fā)現(xiàn)門診繳費(fèi)和叫號都出了問題�����,進(jìn)入數(shù)據(jù)庫后發(fā)現(xiàn)“一條命令”不屬于正常語句����,該命令導(dǎo)致醫(yī)院HIS系統(tǒng)內(nèi)掛號信息表被鎖定。
該醫(yī)院HIS系統(tǒng)由北京某公司運(yùn)營維護(hù)���,該命令來自這家公司員工夏某某�。事后查清,夏某某并非有意為之�����,而是為了方便工作����,私自記錄了HIS系統(tǒng)賬號密碼。其后�����,又在未經(jīng)授權(quán)或許可的情況下�,私自編寫了“數(shù)據(jù)庫性能觀測程序”和鎖表語句,并利用賬號密碼將該程序私自連接到Z醫(yī)院HIS數(shù)據(jù)庫����,從而導(dǎo)致上述情況。
該事件暴露了兩個問題��,一是授權(quán)問題����,北京某公司在網(wǎng)絡(luò)層面、權(quán)限層面都沒有做限制,導(dǎo)致夏某某可以隨意地連接客戶的數(shù)據(jù)庫�。其次數(shù)據(jù)庫密碼沒有進(jìn)行針對性保管、并且沒有定期改密機(jī)制����,夏某某可以輕松得到密碼,從而拿到打開數(shù)據(jù)庫的“鑰匙”���。
保護(hù)數(shù)據(jù)資產(chǎn)可配備堡壘機(jī)
不管是微盟事件���,還是Z醫(yī)院事件,運(yùn)維人員均可以輕松訪問重要資源所在的資產(chǎn)�����。而如果配備安全性能較完善的堡壘機(jī)��,則可以從源頭上解決這一問題�。
手機(jī)廠商A公司“優(yōu)購碼”被運(yùn)維人員盜取就相當(dāng)具有代表性����。A公司運(yùn)維人員聶某在未經(jīng)公司授權(quán)批準(zhǔn)的情況下,從數(shù)據(jù)庫中提取以加密文本數(shù)據(jù)形式的“優(yōu)購碼”��,并使用在工作中從研發(fā)部門一同事處獲得的解密軟件解密成“優(yōu)購碼”明文后,利用“優(yōu)購碼”的優(yōu)惠信息低價購買A公司手機(jī)產(chǎn)品��,然后通過閑魚����、微信等軟件將全新未拆封手機(jī)加價轉(zhuǎn)賣獲利。
可以看出��,在此過程中聶某沒有遇到授權(quán)問題����,密碼問題也被從同事處獲得解密軟件而破解。而使用了堡壘機(jī)��,聶某壓根就沒有權(quán)限去訪問服務(wù)器���、數(shù)據(jù)庫����,即控制他訪問��。此外��,即使聶某取得了權(quán)限�����,也限制他進(jìn)行上傳下載。即堡壘機(jī)就像一道檢測門����,危險的物品帶不進(jìn)來,公司的核心數(shù)據(jù)資產(chǎn)���、機(jī)密信息也帶不出去��。
堡壘機(jī)另一大功能在于托管密碼��。上述三個惡性事件��,密碼都被違法人員通過各種手段取得����,從而取得進(jìn)入資產(chǎn)的鑰匙���。堡壘機(jī)托管密碼后�����,密碼既不需要人來記,也不用人來管,想要使用密碼就必須經(jīng)過堡壘機(jī)的認(rèn)證授權(quán)�。經(jīng)過認(rèn)證授權(quán)后,才給運(yùn)維人員提供一個小按鈕�,通過堡壘機(jī)連接對應(yīng)資產(chǎn)。
此外�����,堡壘機(jī)本身還會定期改密���,即使運(yùn)維人員得到之前的密碼����,可能下一周密碼就換掉了��,得到了密碼也沒用����。
對于“刪庫”、資產(chǎn)被無限制的訪問以及數(shù)字資產(chǎn)被盜取����,企業(yè)已經(jīng)如何預(yù)防呢?這就必須得提到身份驗證��。
身份驗證是雙因子認(rèn)證的,既需要密碼����,也需要出具動態(tài)認(rèn)證方式,比如短信驗證碼之類�����。這么做的目的�,就是為了嚴(yán)格保證運(yùn)維人員的身份,防止賬號被盜用���。
身份驗證之后��,便可以有效進(jìn)行權(quán)限管理���。確定運(yùn)維人員的種類,從而分配不同的權(quán)限����。比如普通的運(yùn)維人員有哪些權(quán)限�����,高級管理人員擁有哪些權(quán)限����。對于“刪庫”這類平時運(yùn)維過程中完全不會使用的命令���,堡壘機(jī)根本就不會給運(yùn)維人員這種權(quán)限。
假如運(yùn)維人員需要更高的權(quán)限以維護(hù)數(shù)據(jù)庫���,那需要走工單提交領(lǐng)導(dǎo)審批�����,工單中說明該權(quán)限使用時長��。比如時長為一個小時��,那么��,一個小時后權(quán)限就會收回����。如果運(yùn)維人員需要獲取資產(chǎn)密碼進(jìn)行相關(guān)操作���,也可通過工單進(jìn)行獲取��,工單到期后���,密碼被收回并自動觸發(fā)改密操作��。并且���,在運(yùn)維人員維護(hù)操作期間,堡壘機(jī)也會全程錄像����,以便進(jìn)行事后的追蹤溯源。
事實上�����,現(xiàn)實中也存在相關(guān)盜取����、修改數(shù)據(jù)庫數(shù)據(jù)給公司造成損失,但是找不到責(zé)任人的情況����。通過身份驗證、權(quán)限控制���、工單審批以及全程錄像����,可以完整地做到權(quán)責(zé)明晰。
行業(yè)數(shù)據(jù)概覽
9月和10月境內(nèi)計算機(jī)惡意程序傳播次數(shù)每周呈下降趨勢�����,9月總計27384.6萬��;10月總計21739.2萬�����,整體較9月減少20.6%�。
?
在境內(nèi)感染計算機(jī)惡意程序主機(jī)數(shù)量上����,10月有535.2萬,比9月454.1萬上漲17.9%��。
?
境內(nèi)被篡改網(wǎng)站總數(shù)上��,10月有10107個�,比9月的10604個略有減少���;但是其中政府網(wǎng)站數(shù)量上,10月有49個�����,較9月增多13個����,政府網(wǎng)站面對的攻擊略有增長;
?
10月境內(nèi)被植入后門網(wǎng)站總數(shù)每周呈下降趨勢����,累計4592個,較9月略有上漲�;針對境內(nèi)網(wǎng)站的仿冒網(wǎng)頁數(shù)量,10月有849個����,9月657個,上漲29.2%�。
?
10月的信息安全漏洞數(shù)量有1295個,較9月的1924個下降32.7%�;其中高危漏洞數(shù)量上,10月較9月也降幅明顯,下降38.6%�。每月都有漏洞利用的事件頻發(fā),針對安全漏洞問題��,一定要在正規(guī)途徑下載應(yīng)用�����,并及時更新���,不可大意���。
安全漏洞對A股上市公司影響分析:
上市公司受到應(yīng)用漏洞的影響仍舊嚴(yán)峻
本次安恒信息對4115家A股上市公司進(jìn)行了CVE安全漏洞影響分析�,其中153家A股上市公司受到共137個CVE安全漏洞影響,面臨著網(wǎng)絡(luò)安全風(fēng)險��,占比3.72%�����。
?
截至2021年10月的統(tǒng)計結(jié)果顯示���,A股上市公司累計受到CVE安全漏洞影響的行業(yè)分布中�����,占比最高的5個行業(yè)分別是工業(yè)(25.49%)����、信息技術(shù)(24.18%)、可選消費(fèi)(16.34%)��、材料(11.76%)���、醫(yī)療保?。?.50%)�。
據(jù)2021年10月統(tǒng)計,如下20個CVE安全漏洞對企業(yè)影響最大:
其中15個漏洞為2016年到2020年提交的����,并且較多為2017年提交的漏洞,表明相關(guān)上市公司安全意識與對漏洞的重視有待提高��。
?
據(jù)2021年10月統(tǒng)計��,受CVE影響的153家上市公司��,分布集中在華東�、華北�、華南及大部分省域中心城市�,可見CVE的分布與我國的信息化發(fā)展水平聯(lián)系較為緊密。其中CVE影響數(shù)量最多的5個省份(自治區(qū)����、直轄市)為浙江、江蘇����、廣東、上海��、北京����,這也是數(shù)字化轉(zhuǎn)型較為典型的地區(qū)���。
在受影響的CVE漏洞中�����,以應(yīng)用漏洞居多���,占比達(dá)到75%以上。其中大部分漏洞來自于Apache和Ngnix。
?
通過分析�����,我國上市公司中�����,應(yīng)用安全仍然是漏洞重災(zāi)區(qū)���,且存在大量2017年提交的漏洞�����。隨著我國《網(wǎng)絡(luò)安全法》的出臺及等保2.0的施行����,相信應(yīng)用安全的漏洞影響將會持續(xù)降低���。
在此背景下��,每日經(jīng)濟(jì)新聞聯(lián)合網(wǎng)絡(luò)信息安全領(lǐng)域上市公司安恒信息(688023�,SH)�����,采用國家互聯(lián)網(wǎng)應(yīng)急中心權(quán)威數(shù)據(jù),結(jié)合最新的安全形勢����,收集剖析國內(nèi)外網(wǎng)絡(luò)安全信息數(shù)據(jù),每月發(fā)布網(wǎng)絡(luò)信息安全月報���。這是業(yè)內(nèi)第一份涵蓋所有A股上市公司的網(wǎng)絡(luò)信息安全報告���,旨在借助專業(yè)解析,讓企業(yè)�����、民眾進(jìn)一步認(rèn)識網(wǎng)絡(luò)攻擊行為��,更好地保護(hù)自身隱私和數(shù)據(jù)資產(chǎn)�����。
此份網(wǎng)絡(luò)信息安全月報主要包括行業(yè)重點(diǎn)資訊����、行業(yè)安全數(shù)據(jù)概覽以及上市公司安全動態(tài)。重點(diǎn)關(guān)注應(yīng)用漏洞等對企業(yè)����、個人的安全威脅,并提供應(yīng)對之法�����。
掃描二維碼或點(diǎn)擊「閱讀原文」開啟安全I(xiàn)T運(yùn)維之路:
記者| 朱成祥
?編輯|梁梟?孫志成?王嘉琦
視頻編輯|鄭得銳
校對| 段煉
|每日經(jīng)濟(jì)新聞 ?nbdnews??原創(chuàng)文章|
未經(jīng)許可禁止轉(zhuǎn)載���、摘編�、復(fù)制及鏡像等使用
如需轉(zhuǎn)載請向本公眾號后臺申請并獲得授權(quán)
“每經(jīng)AI品房”小程序正式上線�,
全國297個地級城市100萬個樓盤小區(qū),
樓市資訊與樓盤分析智能獲?����?���!
德爾塔毒株全球大流行,點(diǎn)擊下方圖片或掃描下方二維碼���,查看最新疫情數(shù)據(jù)↓
