网络安全勒索事故案例及教训

对于刚开始业务的、要拓展业务或者扩张业务企业来说,要忙碌的事务非常多,不过,网络安全问题是不容忽视的。对于越来越依赖信息系统,业务数据流就是财务资金流的现代企业来讲,如果遭遇严重的网络安全事故,那么后果往往是致命的,足以令企业的核心业务中断,甚至破产倒闭。对此,昆明亭长朗然科技有限公司网络安全专员董志军补充说:近几年,总是有一些IT人员通过网络联系我们,表示其公司的企业资源管理系统被勒索软件锁住,导致重要数据被网络不法分子加密,业务无法开展。除了对客户的遭遇表示同情,我们真的帮不上什么忙去解密或恢复数据。

有人说,不是有方案可以恢复数据吗?我不否认存在侥幸的成功个案。但是总体来讲,在技术方面,声称能够帮上忙,清除勒索病毒并恢复数据的,和勒索分子一样不靠谱。因为大部分勒索软件使用的都是基于公私钥的加密系统,这种加密系统使用的成本很低,带来的安全性却很高,几乎是“无懈可击”的。也就是说,在没有解密密钥的情况之下,想靠猜测或破解,可能需要成千上万年的时间和算力,受害公司当然等不到那一天。同时,现在的固态硬盘技术不同于以往的磁盘技术,正常文件被加密后,一旦原始文件被删除,空出的存储单元很快会被操作系统填充上空数据,想使用恢复软件找回原始文件,也是希望渺茫,也可以说几乎是不可能的。从原理上了解了这些,人们就会知晓“未雨绸缪”,定期进行数据备份的必要性。

当然,网络安全工作不仅仅是数据备份,也不仅仅是防范勒索病毒,那么该采取哪些步骤来构建网络安全计划呢?如果预算紧张、资源有限,消极的反应就是这工作没法做,积极的方法是克服困难,将有限的资源最大化利用,那么,我们该做哪些核心的关键性网络安全工作呢?

首先,是最基本的措施,保持系统和软件的更新,如黑客、病毒等网络安全威胁利用的往往就是软件的漏洞。现代的操作系统都支持及时修复这些漏洞,及时“打补丁”、更新应用,虽然这些操作过程会耽误少许时间,但是花费这些时间却是很值得的,因为及时修复安全漏洞,往往能够预防80%的黑客攻击和病毒感染。

其次,我们推荐的措施是在身份认证方面进行加强,很多新的系统、软件和应用都支持多重身份验证,这个安全特性几乎都是免费的,启用该功能,稍稍带来一点麻烦(要安装免费的应用、进行初始配置、在登录时输入代码),却带来强大的安全保护。当然,密码策略也不应过于简单,早期很多弱密码,包括空密码、默认密码、常见密码等等,都是给网络不法分子送的大礼。近年来,重复使用同一个密码,被“撞库党”瞄上并非法利用的情形之多,也是令人震惊的。

再次,由于员工是组织机构的第一道防线,因此安全意识培训具有最高的投资回报率。特别是近几年,针对人员弱点的社会工程学攻击、网络钓鱼、电信诈骗等成泛滥之灾。创建某种形式的教育计划,让员工学习、吸收并参与实践,将有助于建立网络安全防御方面的协同效应。同时,在工作中养成良好的网络安全习惯将有助于扩展到个人使用,以帮助他们在生活的各个方面更加安全。安全意识培训是较低预算的,摊到个人头上的费用与一杯咖啡大致相同。组织机构可以从基本的安全意识培训开始,其中包括交互式的培训模块、在线测试和简单的报告。

最后,加强信息安全巡检,包括工作环境物理安全(比如防窃贼尾随)、桌面清洁(比如电脑锁屏)、计算设备安全检查(比如防病毒情况和软件更新情况等),信息安全巡检是一项管理措施,只需投入一些人力定期进行,不需要花多少钱,却可以帮助员工们养成良好的职场信息安全及保密工作行为习惯。

当然,还有一些信息安全措施,比如鼓励员工们发现及报告可疑的安全事件,在公司范围内进行表彰在信息安全方面表现积极的员工,可以激发员工们的信息安全意识和觉悟,推动公司内部积极的信息安全文化建设。这项措施花不了什么钱,却能带来很大的影响力,也是管理层能够看得到的,能够很容易理解的网络安全管理工作。

对导致严重后果的信息安全事故进行深入分析,从中汲取教训是防范事故发生(再发)的重要方法。我们会不断搜集整理在业界发生的安全事故案例,以便给您参考,让我们多作思考和辨析其根本原因,汲取经验教训。

这些信息安全事故案例只供参考之用,由于一些资料来源并非我们亲历亲见,因此在此声明我们不保证信息安全事故案例的真实性和可靠性,亦不会为所提供资料不正确、内容上的错误或遗漏,负上任何法律责任。但是,从宏观上讲,这些信息安全事故的发生是毫不意外的。因此,我们的目的是不要让悲剧再重演,而不是追查事实真相和追究相关人员责任,毕竟作为专业人员,我们做不了那么多,那或许是取证、鉴定和司法机关的事情。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

应对内部数据泄露威胁的安全保密实践

最近,在网络安全博主圈子的一篇文章中,有百余位网络安全顾问专家一致表示:内部人员的行为对数据泄露的威胁要胜于由外部人员入侵的威胁。与外部攻击相比,内部数据泄漏的发生频率更高,因此带来更大灾难的可能性也更高。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:其实大多数内部安全事件都是非恶意的,也就是由于员工们对网络安全的无知、大意或偶然的意外因素导致安全事件发生。

如何防范呢?俗话说:“预防是最好的方法”。安全负责人的首要任务必须是组织机构免受内部数据失窃所造成的巨大财务和声誉损失恶果。

长远来讲,网络安全管理,尤其是内部人员的管理,需要建立长久的机制,以及网络安全文化。因为组织机构的网络安全性取决于员工将其视为内存必不可少的东西,而不是试图寻找外在解决方法的东西。所有人人都必须为自己或团队其他成员的行为负责。如果他们看到另一名员工要做错事或傻事,就应该采取行动。要达到这种境界,显然不是一天两天就能轻易实现的。

在网络安全认知领域,请对员工意识工作保持激情,尊重并热爱员工们。“员工应该无条件遵守工作单位的安全规范”、“员工应该做好雇主要求的安全”、“员工做不好安全工作就应为此付出代价”等态度将会使员工们心寒,并且消极对待。

雇主花钱买员工们的工作时间,虽然这个普适的道理没错,但是并不能买员工们的灵魂。在网络安全方面,需要赢得员工们的忠诚度,需要尊重员工,这样员工们才有可能尊重事业、工作并在安全事项上与雇主进行合作。

长话短说,通过将数据安全性理念引进并灌输到企业文化中,可以做如下很多事情来防范内部数据被盗或外泄。

  • 防止下载导致数据外泄,阻塞所有设备上的USB接口和SD卡插槽,以阻止对内部网络的所有非授权数据访问。有人会觉得这有些严苛会导致数据传输和分享的不便,可能有些对外服务的场景需要使用USB接口,或者有USB接口的扫描、打印等特别岗位要求,这些确实要例外。但是对于大部分的内部岗位,如果这一个简单的物理安全措施就没法实施,那您还是放弃这份工作,离开网络安全圈子吧。
  • 设置一个允许同事们匿名报告安全隐患或事件的系统,有人会辩解称不是要网络实名制嘛?这并不冲突也不违规,因为举报信息并不会公开,而做为网络安全负责人的您可以调查任何安全方面的怀疑,并决定是否需要采取进一步的行动。
  • 安装用于监视工作场所内所有屏幕的屏幕录像软件,不要担心那些如“侵犯员工隐私权”嚼舌头的惑众谣言,只要不在员工们的私有计算设备中录屏,工作设备属于雇主所有,雇主当然有权监控对它们的使用了。当然,如果没有发生糟糕的情况比如数据失窃需要调查源头等,您也没必要翻看录像。
  • 禁止在工作场所使用私人摄像头,手机、平板电脑和笔记本电脑都有摄像头,如果允许员工们在工作场所开启摄像,那数据安全保障就是个无力的笑话。禁止员工们在数据可见或可能被窃听的情况下进行视频或音频通话,视频通话可能会在后台显示机密数据。至少还得禁止非授权的私人摄像头设备进入敏感及涉密的工作区域,或者必须将其托管起来。如果这一点也做不到,那做为在网络安全行业混饭吃的您,还是搞直播业务去吧。
  • 阻止可进行在线屏幕录像的网站,上网行为管理软件可以实现一些,当然也还得在政策方面警告员工们,令其不要试图访问被禁网站,更不要自作聪明地搞小动作。
  • 如果可能的话,为所有员工,包括中阶经理和行政管理人员,使用瘦客户端工作站,这些工作站没有硬盘,这将使员工们更难将恶意软件下载到内部网络中。当然,最极端的方式是只允许员工们使用浏览器进行工作,这就需要保护好浏览器的安全并且所有的业务应用都基于网页浏览器。
  • 禁止将工作带回家,不安全网络上的数据盗窃风险太大,不要提什么远程工作或周末加班什么的,员工离开工作区域之后,时间就是自己的。要获得数据安全,还想让员工们额外无偿或加班劳动,这不道德也不平衡,不如多聘一些轮岗的员工。
  • 为所有员工提供工作用电子邮件地址,并阻止使用私人电子邮件,例如网易邮箱、QQ邮箱和Hotmail等等的。保护公司电子邮件服务器的安全非常重要,使用邮件安全软件,系统化的过滤加以人工智能监测,可以消除和减少恶意电子邮件链接以及通过电子邮件外发造成的泄密。

当组织机构明确表明其存在及利益取决于总体数据安全性时,员工们将接受这些安全措施,这样,就可以将任何违规行为视为纪律问题,严重的可能导致解雇和司法惩戒。不过,一旦做了上述所有可以想到的事情,就需要聘请专业人员来评估安全性。比如聘用独立的第三方测评机构,针对行业标准如ISO或等级保护要求等,进行评测。根据评测结果,组织机构可以了解哪些地方需要改进,进而实施整改措施。

您可能会说:如果员工将工作内容默记下来,悄悄带回家并卖给竞争者,那该如何?那是思想出了问题,是窃取知识产权和商业秘密的大事件。网络安全专员能潜入人的大脑中吗?不能吧!能让网络安全意识进入员工们的大脑就已经很不错了,职业道德与守法意识当然也很重要,可是那已经超过了我们探讨的范围了。网络安全从业人员又不是政治辅导员、普法宣传员、幼儿园老师和宗教领袖,不要东扯西扯的行不行?

随着信息技术的进一步发展,特别是互联网深入应用于社会经济生活的各个领域,人们对信息安全的认识得到了进一步的深化和扩展。然而,除了内部数据安全保护之外,与此同时,今天的机关单位和公司企业正遭受来自外国政府、有组织犯罪集团和黑客团体的前所未有的网络入侵攻击,他们试图窃取信息、钱财并破坏信息资产与在线服务,而且,网络上的每家组织都容易受到攻击。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:对于所有的信息安全负责人员而言,阻止来自网络入侵者的先进而持久的威胁已成为不可逃避的现实。关键是要让职工们了解这些威胁如何对系统进行黑客攻击,以及为防止这些威胁而应该采取的对策、方法和步骤。切记:职工们是抵御网络攻击的重要安全防线!

那就是我们可以为贵单位提供帮助的地方!我们可以为全体职工提供保障网络安全所必需的技能和知识,以了解黑客等网络威胁用什么法子入侵网络和系统。除了安全意识之外,我们也提供的一些专业人士所需掌握的高级技能,以抵挡黑客的非法入侵。欢迎不要客气地联系我们,对此话题进行探讨,或者采购我们的作品及服务。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898