50亿条公民信息被盗,企业如何揪出“内鬼”?

近日,公安部组织安徽、北京、辽宁、河南等地公安机关开展“9.27”特大窃取贩卖公民个人信息案集中收网行动,抓获韩某亮、翁某、郑某鹏在内的犯罪嫌疑人96名,初步查获涉及物流、医疗、社交、银行等各类被盗公民个人信息50亿条

412907114598688032

蚌埠市公安局刑警支队队长杨庆透露,该团伙骨干成员之一郑某鹏因为技术水平较高,到一些知名网站去应聘,基本都会被录用。郑某在工作一段时间获取信任后,则利用工作之便窃取网站的核心数据,与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。在信息窃取成功后,就离开该公司,继续到下一知名网站继续应聘、窃取信息。

从这个案件中,我们可以看到企业内部威胁造成数据泄露的严重后果。该事件也值得所有企业进行反思——我们花了那么多时间精力去做好对线上安全和对外部黑客的防御,但是有没有认真考虑过来自「内鬼」的威胁呢?事实上,黑客可能不像你想象的那样,必须是你未曾谋面的人,他也许就坐在你旁边。

557341179461654134

当面对未知的内部威胁时,企业应该如何应对呢?

一般来说,企业在应对内部威胁的主要安全措施包括建立强健完善的内部安全制度、增强员工安全意识、招聘时应多考察和审核对方背景、制订严格的分包流程、在员工知情的情况下对他们进行监控等。但是,当上述安全措施都失效时,企业还有没有其它有效手段,更好地发现内部威胁呢?毫无疑问,锦行科技自主研发的幻云-攻击态势感知平台是可以弥补现有安全防护手段空白地带的内部威胁问题的最佳技术手段。

1)具有其他安全产品无以比拟的内部威胁检测能力

大多数安全设备具有一定的误报率,每天发生在网络上的各种攻击扫描数据可能会让真正的攻击痕迹淹没在茫茫的告警信息中,网络管理员往往疲于处理。幻云核心优势在于具有极强的内部威胁检测能力。幻云通过在网络内部部署具有高度迷惑性的“陷阱”和“诱饵”,吸引潜伏在内网的攻击者实施攻击。由于正常用户不会也不可能访问幻云,因此发生在其中的一切活动均可视为入侵者所为。一旦检测到攻击行为,幻云第一时间将内网威胁通知企业。

2)分层部署,减少“内鬼”和其它内网威胁

大型企业的网络规模往往非常庞大,网络架构极其复杂,企业管理员也无法全面了解完整的网络架构,“内鬼”通常只熟悉与其工作相关的网络区域,因此,蜜罐分层部署管理就显得尤为重要,可以在各个部门一一部署幻云设备,处理核心数据的重点部门可考虑多重部署,并确保接口分散化,无形中可以起到震慑内鬼和攻击者的作用。

3)全程记录分析攻击数据,揪出背后“内鬼”

黑客在攻击结束时往往会篡改或删除企业计算机日志,防止管理员依靠日志进行攻击溯源。幻云从核心层实时记录攻击者行为数据,弥补了传统日志记录易被攻击者删除或篡改的问题。幻云对所有的攻击行为数据进行分析,固定犯罪证据,并以视频流、命令行等多种方式重现攻击过程,便于企业管理员快速定位到“内鬼”。