投毒案对信息安全从业人员的启示

上海复旦大学投毒一案告破之后,北京清华大学朱令铊中毒案件火烧白宫,徐州中国矿业大学3名学生铊中毒事件重回视野,武汉某高校研究生开水房投毒“药”倒两同学被捕……

看客们往往会认为下毒手的这些人心理有问题,的确,为一点小事儿对同学投毒,很不合乎伦理道德,更是草菅人命的违法行为,应该受到严厉的惩罚。

不过,事后惩处可能并不是最好的结局,受害人的心理和生理会留下一辈子的创伤,投毒人也会内疚一生,直至死去。事前的防范胜于事后的惩戒,我们要做的是防止恶劣事故发生,以降低损耗。

在信息安全领域也是如此,首先,严重的安全事故可能给业务成功带来致命的影响,严重损失造成之后再后悔没有及早进行防范,已是“亡羊补牢,为时已晚。”不过,昆明亭长朗然科技有限公司安全顾问James Dong说:虽然道理简单,但是仍然有不少组织机构的业务管理负责人不能认识到“防范未然,未雨绸缪”的正确安全理念。安全管理层需要耐心地向业务部门解释信息安全,向他们灌输正确的安全意识,而不是当他们讲“这事儿不会发生”便退却了。

投毒人员并不完全是十足的恶魔,他们也是有血有肉的身躯,他们做出这种“过份”的投毒行为并非他们的天性使然。问题的最初因素可能是其它小矛盾或利益之争,这些因素可能致使投毒人员自认为是“受害者”,必须进行报复行动。我们常常认为这些地下的恶劣手段是弱势群体的自保或反抗行为,但“弱势群体”的“炸弹攻击”行为造成的损失要远大于最初的小矛盾或利益。

在不同群体和人员之间,利益的博弈是永恒的。如何适当的“分饼”,造成多方共赢,皆大欢喜的局面,是管理者需要重点关注的课题。而在利益分配之外,信息安全管理人员则更多要注意解决“犯罪心理”问题。

其次,信息安全管理人员在制定安全策略、标准和规则时要注意考虑安全意识“弱势群体”,即对安全认知不够深入的员工们可能的过激反应,制定太过苛刻不够人性化的安全规则可能会引起强烈的对抗,如刻意漠视、躲避或破坏。员工消极怠工、代理翻墙、禁用安全软件等行为多都源自对正确安全理念的不理解,要获得正确的理解,需要我们传递正确的安全意识信息,而不是通过强力压制手段要“弱势群体”接受。

此外,在执行安全相关规章制度时要体现出公平公正,至少要让员工们感觉到这一点。信息安全的实施和检查工作表面上看起来也是“得罪人”的事儿,严格的防火墙、上网行为管理和过滤等访问控制措施会影响到部分员工的“正当”信息获取和使用,对于员工们在安全方面的小过错而进行的过度严格的惩罚会让员工心怀不满,伺机报复。

其实,在安全控管措施上给员工们更多的自由,给人们有尊严有面子,实际上人们更会珍惜这些;再给员工们正确的安全意识指导,也会获得人们对安全工作更多的理解和尊重;而对于安全方面的过错,应该以教育改过为大的指导方向,不伤大雅的小的过错提醒一下便可;即使碰到严重的但尚未造成重大损失的潜在安全隐患,也不能立马断定是严重违纪,应该好好进行一番调查,仔细说服教育,让其心服口服认识到自己的错误。

最后,我们深入研究员工们的安全违规行为,会发现背后都有各种各样的“理由”,有这些近乎荒唐的“理由”存在说明这些员工们对正确安全理念的认识不够。如同对待业务管理层宣讲信息安全积极主动防范理念一样,我们更需要向全体员工传达正确的信息安全意识,让人们知道自己的安全职责、理解公司的安全规章并且实践正确的安全行为。

不要让公司员工成为信息安全方面的“投毒人员”,需要让员工们在信息安全方面“想开些”,需要加强安全心理素质教育,并且普及正确的信息安全理念。

让我们暂时远离一会这个深重的话题,玩一玩信息安全小游戏吧!

安卓智能机劫持飞机案件引发航空恐慌

多数科技创新并非仅仅针对某些问题,很多是源自假想,而这些假想只要在理论上讲得通,如果付诸必要的设计和研究,总会有所突破。当能够联网的电子设备开始大量进行汽车领域的时候,航空航天领域早已是准备齐全了各类高端的信息装备。

近来,德国安全研究人员Hugo Teso在Amsterdam的Hack in the Box安全会议上展示了通过手机劫持飞机实战演示,立即引来全球信息安全业界的强烈关注,可怕的是攻击者并不需要对飞行器有深入的技术了解,只需沿用传统的网络安全攻击入侵手段,便可轻易地通过安卓手机应用PlaneSploit拿下飞行管理系统FMS、劫持并摇控一架航空飞机

PlaneSploit利用了空管局调度和报告系统的安全漏洞,获得一些关键飞行资料数据,甚至恶意篡改它们。而与之相响应的飞机端的系统则无法识别出异常情况和真假指令,自动化程度越是高的飞机越是只能乖乖就范,所能造成的严重后果只能凭人们想像。

所幸的是,航空安全总是留给飞行员手动控管和指挥的特权,无疑会让人类的智能判断和响应凌驾于错误的电子系统报告之上,不过这就需要依赖飞行操控“人员”的知识和经验。昆明亭长朗然科技有限公司的安全管理顾问James Dong说:要提升飞行员的安全知识和经验,不能全拿真实的血淋淋的案例,那样代价太高。航空业等需要通过各类虚拟培训手段来提升安全意识,提升安全隐患的监测、识别、应急报告和响应意识。

说到底,航空飞行高复杂度,成千上万的飞行信息系统只要有一个环节出现安全漏洞,便可能被恶意攻击者发掘和利用,所以,修复系统安全漏洞的工作非常繁重。但是线上的系统即使有安全漏洞,也不一定能够立即获得修复,毕竟要变更处于生产中的系统不是随时都可以进行的。

再者,众多系统的安全漏洞与开发者的安全意识息息相关,系统开发项目立项时可能并未充分考虑到安全问题,这给攻击者留下了可乘机之机会。内置安全到应用系统也只是近几年才出现的安全实践,让历史遗留的系统安全问题处理起来甚是棘手。在安全漏洞面前,如果攻击者的响应速度快于系统安全研究人员和开发人员的速度,就意味着灾难不可避免。所以,加强软件开发管理中的安全管理要远远重于修复已知系统的安全漏洞,正所谓:防范用于救治。

最后,则是利用和保护受影响人群,在飞行起降途中,恐怖分子可能故意开启安卓手机信号干扰工具来劫持、篡改或扰乱通讯,继而让空管站或飞行员获得错误的信息或采用错误的决策。只依赖信号灯、教学视频和空姐们的指示可能并不足够,还需要一些无线信号探测器等技术手段,也需加强乘客之间的安全监督,并且教育乘客发现异常安全情况立即向机组人员报告。

所幸的是,尽管PlaneSploit被证明了有强大的实力,但先机仍被掌握在正义之师的手中,不过恐怖分子或犯罪集团定会受到启发并且开始着手行动计划,我们不能掉以轻心,必需加强多个层面人员的安全意识教育啊。

aircraft-security-awareness