Cox Communications公司雇员William Bryant最近承认犯有破坏信息技术罪,他造成Dallas、Las Vegas、New Orleans和Baton Rouge市的数千家Cox的商业和家庭客户失去计算机、电信和911急救服务。Bryant面临入狱10年和25万美元罚款的惩罚。但是Cox公司的未来仍不那么确定,虽然其服务已经完全恢复,但这次事件给Cox的声誉造成的影响有多大还不知道。
Cox的故事以及最近公开的NASA、Accenture、Gap和Medco发生的事件,给人们敲响了一记警钟,提醒人们:内部人员已经形成了一种常见但常常被误解的威胁。数据偷窃和破坏会导致巨额的费用、与遵从性相关的问题、法律费用、生产力损失以及可能代价最高昂的结果:声誉损失。
据最新计算机安全协会的调查显示,内部人员威胁增加了17%(Deloitte和CSO杂志最近的调查印证了这一趋势)。随着IT和通信系统的复杂性不断增加,维护它们所需要的雇员、承包商和管理服务提供商的数量也在增加。鉴于内部人员常常不受限制、不受监控地访问至关重要的企业网络,这种威胁的激增也就不让人感到吃惊了。
勿庸置疑,企业必须像监控外部人员那样严格地监控内部人员。但是,由于内部人员完成自己的工作所需要的访问特权,监控内部人员被证明是一项颇具挑战性的任务。以下是5种内部人员用来访问网络资源以及企业IT可能用来防范潜在威胁的最常见的方法。
1、调制解调器
容易猜出的静态口令以及缺少集中管理,使调制解调器成为掌握详尽的网络知识的内部人员理想的进入点。许多公司试图通过干脆在不需要使用调制解调器时拔下它们,来应对这种挑战。但是,拔下调制解调器令使用它们完成原本的任务,即在紧急或出现故障时刻恢复关键系统变得不可能。
鉴于调制解调器是必不可少的设备,企业必须将它们用于其他远程网络进入点的安全和身份验证措施扩展到调制解调器。将企业双因素认证措施应用于调制解调器或用新的、更安全的调制解调器更换老机型,可以提供恰当的、高性价比的保护。
2、开放的文件传输
大多数企业使用开放的文件传输对网络基础设施进行修补。内部技术人员和厂商使用这种不安全的、不受限制的访问方式排查故障、安装补丁和纠正问题。但是,他们也可以利用这种自由来修改文件、删除至关重要的组件或破坏系统,从而导致系统无法运行,网站内容被篡改,数据偷窃和其他破坏性的情况。
心怀不满的雇员或前雇员可能掌握着实施这类行为的知识并且具有做这种事情的动机。但是更经常的是,内部人员威胁不那么引人注目但却同样麻烦。甚至,好心的雇员都有可能因粗心大意而在无意间犯错误。因此,保护信息资产要求企业控制谁可以上传和下载文件,并用清楚、易于恢复的记录记下对系统进行的所有改动以及进行这些改动的人。
传统上,限制和监测开放的文件传输需要在每台机器上设置不同的权限,从而造成令IT部门头痛的问题。但是,新技术,如厂商访问与控制(VAC)系统,可以在企业范围内或针对特定系统限制访问和监测活动。
3、开放的Telnet和SSH端口
利用第三方远程访问并排查系统故障的公司应当恰当的保护Telnet和SSH端口的安全或关闭这些端口。如果没有这种保护,一位远程技术员只需要一个内部IP地址,就可以在企业不知情的情况下进入企业网络的任何地方。
认为远程技术人员对于你的IP地址分配方案了解有限是危险的想法,因为这位技术人员很可能在你的设备上做过一些工作。此外,基础设施设备常常共享一个容易被猜出的口令,从而使内部人员访问非授权的设施变得很简单。
建议作为一种标准的实践,公司应当限制第三方通过Telnet或SSH对系统的访问,把他们的访问权限制在典型的服务范围内,除非会话被记录或由你的团队成员监测。作为另一种选择,许多企业使用临时系统为这些会话建立代理,来增加所需要的控制和跟踪水平。
