探秘一起恶性网络安全事件

对网络安全重大事件进行深入分析,从中汲取教训是确保信息安全管理工作持续改进的重要方法。以下是我们搜集整理的在业界发生的网络安全事故案例,给您参考,让我们多作思考和辨析其根本原因,汲取经验教训,以防事故再发。

最近,一家大型网络存储服务提供商遭遇勒索软件攻击,整个内部网络中的大部分服务器内的全部文件被勒索软件加密,包括重要的业务服务器,以及部分工作站电脑。黑客勒索两百万美金的比特币,在权衡之后,该网络存储商用比特币进行赎金的支付,幸运的是,他们获得了解锁重要文件的密钥,然而该服务商的信息安全主管仍然表示黑客提供的解密程序解密速度太慢。股市分析师预估该勒索事件导致的业务损失将达数亿美金。据网络安全调查机构分析称,黑客们使用的英语习惯接近俄语,因此怀疑为东欧或俄罗斯黑客所为。

通常来讲,数据存储服务商有足够的存储设备,也应该有数据备份这种基本的网络安全常识,然而上述案例却让人对此表示怀疑。在进一步联系该服务商,并了解了情况之后,发现他们其实是有对重要数据进行备份的。不过,最新的备份也感染了勒索病毒,离线的没有感染病毒的备份却比较老旧。我们相信这种状况是很多有同样遭遇的机构的共性。

事情并没有因此而结束,不要忘了,该服务商的产品和用户!黑客们利用了NAS产品中的一个零日漏洞,假冒该存储厂商发送软件(及固件)的升级通知,不少用户点击了链接并进行了“升级”。结果可想而知,用户们在NAS中的重要数据也都感染了勒索病毒,不付200多美金就清空设备。鉴于用户数量庞大,该服务商紧急发布官方通报,提醒用户们注意对零日漏洞的修复,同时提升安全防范意识,进行安全配置加固,防范钓鱼行为。

可是,已经中招的用户们呢?有用户找厂商要说法,要赔付,要垫付比特币赎金,然而厂商“无情”地拒绝了这些用户。有可怜的用户找到我司(昆明亭长朗然科技有限公司)进行咨询,在了解情况之后,我们表示:厂商虽然有责任,但是产品出现安全漏洞是难以避免的,不能因为产品被发现了安全漏洞就对客户进行赔付。厂商如果及时修复了新发现的安全漏洞,且及时告知了用户,并尽力帮助用户修复安全问题。用户也有责任使用好该产品,并保护好自己的数据的安全。起初,该可怜的用户对我司的回复不够满意,我们举出了微软每月都有大量安全漏洞被发现和修复的情况为例,微软并没有对用户使用其操作系统所造成的安全问题进行赔偿。从科学上讲,漏洞问题是软件开发过程中必不可少的,新的漏洞会不断被发现出来,只要厂商及时发布安全更新程序,就尽到其基本责任了,用户有也有责任和义务及时安装相关的更新和修复。该可怜的用户最终无言以对,只好认载了。

由于该网络安全事件案例的一些资料来源自网络,并非我们亲历亲见,因此在此声明我们不保证该事件案例的真实性和可靠性,亦不会为所提供资料不正确、内容上的错误或遗漏,负上任何法律责任。同时,我们希望我们的安全案例分析活动不会给涉事机构的名声和信誉带来负责的影响,也希望这些涉事机构不会因此而将我们排除在其供应商之列,因此我们并不点名道姓。尽管如此,这并不表示我们展示的网络安全事件是完全杜撰的,聪明的网友或者有经验的网络安全从业人员应该知道,万事皆有可能,安全隐患必将导致安全事件,人类的所有观念都是基于现实的,没什么所谓的凭空捏造,但是也请不要对号入座。

对于上述网络安全事件,我们可以科学推想及预测,云存储厂商遭遇黑客入侵,进而让勒索软件感染所有用户文件的情形必将在未来某日出现,让我们拭目以待。我们公司专注于信息安全意识业务,不过我们不是预言家,更不希望世界出现灾难,但是仍然要请人们注意防范可能的灾难发生,因为不法分子们总会想出各种方法去制造灾难,往往他们有机会能够得逞。

最后,请明白:世界之大,我们披露的案例有一些普遍性,请大家不要对号入座。它山之石,可以攻玉。不要让类似的悲剧再重演,也不要上类似的悲剧发生在自己身上,这才是智者的行为。

社交网络的广泛应用引发强烈安全顾虑

社交网络越来越红火,门户社交网站、行业社交网站、职场社交网站等等导出不穷,不少组织和个人都有在积极利用各类社交网站加强信息沟通,同时也有大量的组织机密信息、个人敏感资料通过这个渠道源源不断地外泄。

不管有心还是无意间之披露的信息,都可能会成为“朋友圈”,“追随者”,竞争对手甚至网络犯罪分子的至宝。

多数社交网站都有要求或鼓励网民实名登记,注册时,网站有要求姓名、性别、出生日期、邮件地址等等,以保证个人信息的真实性,实名制对于互联网的安全有着积极的意义,通常在实名制下,个体的言论会更加的负责任,组织发布的内容也更有可信度。

大型社交网站的默认设置也都有考虑这些数据的安全保护,在默认情况下网民并不容易得到这些敏感信息,但是仍有技术高超的攻击者可以利用各类手段获得它们。

中小型的社交网站在安全控制措施上参差不齐,甚至还有不少仿冒的钓鱼网站、网络诈骗等等,它们可能会对个人信息的泄露大开方便之门。

网站大多都有“免责声明”,“使用条款”,“用户需知”等等,来保护自己的权益,同时简单教育用户社交网络的礼仪和规范。

除了网站方面的因素,交友不慎,博客泄密,微博骂战等等事件的起因,往往源于网友对社交网络上言论和行为的尺度把握不当。

分析其中的动机,网友希望扩大人际关系网络,组织也希望增加影响力,更好地服务网民,所以愿意发布他人希望或者喜欢看到的内容。当然,偶尔,这些个人和组织也可能会担心这些发布的内容被坏人利用。

如果有必要,组织可以像总参总政发文禁止军人网上交友防范泄密一样,但这种做法对大多数组织和个人并不现实。

毕竟,不可能因噎废食,因为社交网络存在安全隐患就粗暴禁止使用社交网络可能对组织和个人并不利。

针对网友个体,毕竟谁都不想被“人肉搜索”,所以要保护个人隐私,在登记注册时要尽量防止输入太多的个人信息,开启社交网络的安全保密设置功能和选项,尽量不要选择公开它们,慎重填写各类经历和经验,并且不要在各种发文中留下私人信息,对于过期不用的联系信息及时删除。

同时,网友个体大都也有组织,网友和其所属的组织一样,都不希望因为社交网络使用不慎而造成损失。但是仅有好的希望并不见得会有好的行动,所以在组织层面,有必要加强组织成员的社交网络使用规范和管理。

相关的内容当然应该包括上述针对网友个体的一些安全招数,除此之外,还有一些建议:

1.强化员工的认识,使其明白社交网络安全对组织以及个人的影响。

2.制定社交网络使用的安全政策及建议并培训员工遵守,有对信息进行分级的组织需设定可公开内容的安全级别,比如禁止在社交网站发布机密级别的信息等等。

3.使用技术控制,对于可能危害到国家安全的内容,社交网站会进行审核,组织也应考虑实施监控和审核技术以及控制流程,比如在提交发布消息之前进行审批,定期搜索和监控与攸关组织的关键词以便及时响应等等。

4. 加强员工的社交网络安全使用技巧培训,毕竟,对于大部分组织,能难设立严格的内容分级标准,进行审核及监控也需要大量人力物力,而简单的技巧则可令员工轻松接受社交网络安全政策,学会把握适当的尺度,进而在享受社交网络乐趣和沟通便利性的同时,保护组织的智慧财产、机密信息及商业信誉。这些技巧比如:不要在心情不好的时候发布内容,发布内容之前想想如果这些内容公开的话会不会违反组织政策,会给组织和自己带来什么影响等等。

social-networking-security

昆明亭长朗然科技有限公司制作了几部社交媒体安全使用指南在线教程,以及动画视频,它们更适用于企业级的组织机构用来对员工进行社交网络安全意识培训。

我们也开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898