从棱镜事件新进展看员工信息安全监管

big-brother-watching
2013年夏秋,斯诺登无疑是网络安全界的红人,这位前美国中央情报局雇员,美国国家安全局技术承包人,于2013年6月在香港将美国国家安全局关于棱镜计划监听项目的秘密文档披露给了英国《卫报》和美国《华盛顿邮报》。随后,斯诺登遭到美国政府及英国政府的通缉。

斯诺登生于1983年6月21日,是一名典型的“80后”,并且是一名佛教徒,他约有$200,000美元的年薪,与女友在在夏威夷一起过着舒适的生活。按照常规,他虽从“体制内”离开,但也算是有成就的人士,为什么会被雇主博思艾伦咨询公司在6月10日以“违反公司道德和企业政策”为由解雇呢?通常来讲,雇佣双方如果对薪金报酬或员工休病假而不满,不至于上升到公司道德和企业政策层面,因为这样显然对员工不公——无疑会让员工日后较难在行业中混下去,而公司也会落下个不好的名声。显然,这时候甚至在此之前,博思艾伦咨询公司已经很清楚斯诺登存在问题,否则也不会轻易批准他以“癫痫”病为由而暂时离职。

斯诺登解释了自己披露这些文档的理由,说自己“愿意牺牲掉这一切(工作、收入、女友)(把真相告诉世人),因为美国政府利用他们正在秘密建造的这一庞大的监视机器摧毁隐私、互联网自由、和世界各地人民的基本自由的行为让他良心不安”。这听起来让人们觉得他是一名正义的热血青年,可事发后被公众知晓之后,斯诺登的雇主博思·艾伦·汉密尔顿却谴责他的行为是“令人吃惊的”和“对我们公司的行为准则与核心价值的严重违犯”。人们可能会觉得,博思艾伦咨询公司在立场上会维护大客户美国政府,从言语措辞上看,其对前雇员的态度明显严厉了很多。

这么说来,我们可以确定的是博思艾伦咨询公司在帮助美国政府监控互联网,但却没有监控好自己的员工。而斯诺登显然也很不认同博思艾伦咨询公司的行为准则与核心价值观,这雇佣双方似乎本身不应该在一起的,不是么?那我们应该得到什么启示呢?昆明亭长朗然科技有限公司企业安全分析员James Dong称:有人可能认为博思艾伦咨询公司不应该聘用斯诺登,可是斯诺登明显是一名“潜伏”者,谁知道后来他“变异”了呢?所以问题的源头并非在员工招聘层面,美国公司在招聘职员时,多有严格的背景审查,和安全相关的岗位更是如此。

我们需要肯定斯诺登本性是好的,然而这么一位“性本善”的员工却做出这种“令人吃惊的”事情来,让人力资源及信息安全管理人员不免瞠目。我们再分析一下斯诺登的那句话,他认为“美国政府的行为让他良心不安”。既然如此认为,您应该早日退出,不和他们继续玩儿了,为何还要说服20来名员工索取他们的帐户和密码来获取更多涉及机密的信息呢?所以,我们认为,斯诺登不但不认为美国政府的行为不当,他自己则有更强的越权监控欲望,这与他声称的“对隐私的价值怀有强烈的热情”恰恰相反。从信息安全管理角度来看,疏于对员工们进行帐户和权限的管理才是这起轰动全球的信息安全事件的根本起源。NSA亡羊补牢,对向斯诺登分享帐户权限的职员们进行了必要的惩戒,“秋后算账”让员工们明白了保护帐户和密码安全的重要性,但却无法挽回斯诺登棱镜事件造成不良影响。所以,加强用户的信息安全意识教育,让员工们了解到分享帐户权限是不正确的信息安全行为,才是保护信息安全的重要防范举措。而建立适当的敏感信息访问审计流程以及帐户及登录行为审计,及时发现并报告和处理异常情况,也是必不可少的安全运营管理工作。

当一个小职员掌握了大量涉密信息的时候,他有两个选择,一、默默地独自欣赏;二、充分地利用它们。斯诺登聪明地选择了后者,这无疑会让他的人生更加精彩。不过,试想,如果当斯诺登向第一名同事索取帐户和密码的时候,他的可疑行为便被通报给了信息安全管理人员,还会有后来的故事么?所以,我们不仅得教育员工们不分享自己的密码,也需要他们会识别可疑的信息安全事件,并且能够和愿意立即向信息安全管理部门和人员报告。

职场80后,90后日渐多起来,年轻人们的思想观念更加自由开放,如何让新一代职场人士更加遵守公司的行为准则和核心价值观呢?从公司培训角度讲,员工培训很重要,从信息安全角度讲,信息安全意识培训是保障职场新人们的行为合乎规范,进而确保业务安全和公司信誉的关键。我们制作了多部的信息安全事件报告培训视频和课件,以期能够帮助员工信息安全管理人员。

当然,我们有数百部安全、保密及合规课程模块和三百余部动画视频,如果您有兴趣,欢迎联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898

面对网络勒索您给还是不给

犯罪分子通过社交网站、即时通讯、移动应用等等科技渠道和手段,很容易找到下手的目标,除了高富帅、白富美、富二代、土豪等等大款之外,企业级的白领人士、政府机关的公务人员也都是他们的目标。早在2013年下半年,网曝某知名跨国会计事务所合伙人被“小三”勒索280万元,我们相信被曝光的只是众多事件中社会影响和数额较大的一个典型,类似的不被世人所知晓的事件还有很多。

职场人士压力大、工作忙、圈子小,他们需要娱乐放松,也需要恋爱婚姻,越来越普及的互联网和计算终端在满足人们解压和放松的需求。”摇一摇“找个有缘人,”陌陌“勾搭一把便成为一股热潮甚至时尚。不过,诈骗分子也深知:猎奇的心经受不了任何一种刺激的裸聊之邀,疲惫的心等待着远方陌生有缘人的温润,寂寞的心渴望一场特别的虚拟爱情与性爱……诈骗分子正是利用社会工作生活心理压力之下人们的放纵欲望,企图让那些网友深陷其事先编织好的泥潭之中。从线上发展到线下的两情相悦的往来、娱乐消费的陷阱以及感情婚姻的诈骗让人们对网络又是爱又是恨。

同样是在2013年底,警方缴获了骗子新编“剧本”、犯罪分子很猖狂:“2013年拍了几只大耗子,2014年争取弄几台提款机。”对此,连警方反电信诈骗专家都大呼:“这是我见过的所有电信诈骗里面最狠的。”剧本显示,电信诈骗团伙急于升级骗术,将诈骗与敲诈勒索并行,网络裸聊勒索将呈现疯狂增长的趋势,无疑将成为公共安全以及企业安全的防范难点。

以网络交友勾搭异性网友“裸聊”的招数看起来有些不正常,甚至“变态”,但是不要怀疑它的效果,看看美女视频聊天室的热度便知。在家庭住址、工作单位等身份信息外露,裸照等个人隐私被犯罪分子拍录下来之后,面对勒索,网友们通常得照顾现实生活中自身的形象和利益,往往不得不做出牺牲。而诈骗分子并非想一次性了断,“提款机”之说,无疑让人胆战心惊。

这种现状如何有解呢?如何让员工避免由于网络交友不慎而引发的裸聊勒索和现实勒索呢?昆明亭长朗然科技有限公司互联网安全分析师James Dong说:如下几种可能性,让我们一起简要探讨和分析一下。

  • 为员工搭建更好的娱乐环境,让员工们在紧张工作之余能够放松一下,这个想法是很好的,不过在社会分工越来越细的今天,这可能并非多数组织机构的专业职责以及核心能力,还是交给社会上的娱乐机构吧!
  • 与周边公司一起举办员工交友联谊鹊桥活动,扩大员工们的社交圈,给大龄单身男女员工们互相认识的机会,这也超出了公司人力资源部门本职工作的范围,也非法律硬性的要求,如果操作不当反倒会让公司惹上麻烦,这是婚姻中介公司的地盘。
  • 加强员工思想道德素质教育,让员工们能够控制住贪婪的欲望和邪念,唯此方能活出积极健康的人生。不过,只要员工在工作范围内的行为举止符合职场员工行为规范,员工在外的私人生活,公司不应该过多过问,否则可能在干涉员工信仰自由和涉嫌种族文化歧视。
  • 加强网络行为监控和不良信息过滤,想有效识别和把控并不容易。其实,信息安全控制系统应该以服务工作绩效为目标,而不是为帮助员工识别不良的情感诈骗分子。并且员工们的私人交友行为可能会轻松越过企业信息系统,比如使用自带的终端计算设备和移动互联网运营商的接入。
  • 加强员工安全防范和自我保护意识教育,告诉员工们常见的网络交友骗术,以及如何辨识这些骗术。公司不用花费太高的成本投资,也没有什么风险。企业信息安全管理人员也能借此加强与员工们的沟通和互信,在让员工们获得安全的同时,也能帮助资方获得生产力方面的提升。

信息科技的快速发展已经让犯罪分子不再满足于逐个寻找渗透目标,在2012年底,欧美国家信息安全圈已经开始出现一条新词:Ransomware,勒索软件,它便是利用高科技来窃取个人隐私,绑架计算设备的一个热门话题。勒索软件近来在海外黑客基地很热火,相比于木马程序和僵尸网络,勒索软件要更加明目张胆。目前已经发现三种较为典型的勒索软件:

1.对MBR的感染
这是勒索软件在借助传统的恶意软件感染电脑硬盘启动区,在MBR中注入病毒之后,电脑加电后不会像正常一样显示操作系统启动过程,而是显示出勒索信息。目前主要以英文等西欧语言为主,在MBR中显示中文勒索信息似乎并不容易,而且MBR受到感染也很容易被清除,所以中文语言受害者并不多。

2.对操作系统的恶意锁屏

短信版的SMS勒索软件把Windows个人电脑锁屏,界面像出自微软的Windows XP或Windows 7等等,声称用户使用的是盗版软件,需要发送一条短信,以便获得解锁码。实际上就是黑客让受害用户订阅收费的短信SP服务。往往额度并不太大,几块钱,几十块钱儿到几百块钱,当人们发现之后,甚至不想退订也不想报警。

勒索软件Winlocker使用一个警告页面将个人计算终端设备屏幕锁住,在警告页面中使用国家安全机构的标识和画面,甚至开启计算设备上的摄像头,声称使用者“违反了国家相关的法律,访问了色情、赌博或敌对等非法网站,要求受害人输入相关身份信息并缴纳赎金或保证金之后方能解锁。如果在24小时之内未付款,将被采取进一步的法律行动。…简言之,借助勒索软件对操作系统的恶意锁屏,犯罪分子假冒执法机关对受害者进行精神层面的恐吓和法律层面的威胁,以期获得受害者的转账汇款。

3.对计算机用户的电脑文件进行恶意绑架

勒索软件的技术在不断演变之中,除了对操作系统进行锁屏,假冒执法机关骗钱之外,便是对计算机用户的电脑文件进行恶意绑架。近期的”加密锁“软件“CryptoLocker”便是技术不断演变的代表作。“CryptoLocker”通过邮件或即时通讯等手段传播,开启之后立即将用户的电脑文件如图片、Office文件和PDF文件等进行加密,如果用户在72或96小时内不交出300美元或300欧元获取密钥来解密,便会永久失去解密这些文件的私钥和机会。相对于传统的文件感染型病毒,“CryptoLocker”的创新在于其借助了公私钥安全加密体系,加密时使用公钥,但解密却需要与之相对应的私钥,而且每台受感染电脑所使用的公钥都不相同。无疑,这是对信息安全基础技术的一大成功应用和对安全界正义力量的挑衅,受害者只能获得私钥来找回被加密的文件。此外,除非通过暴力手段来破解,别无它法,而暴力破解RSA-2048位的公私钥往往需要大量的计算能力和长达数个世纪的时间,显然很不划算也不现实。目前的防病毒软件也只能将被加密的文件进行隔离或删除,而无法像针对其它大部分文件型病毒一样,将病毒代码剔除后获得干净的原始文件。

奇怪的是,到目前看来,“CryptoLocker”犯罪分子的确在用户付费之后,提供了可恢复文件的私钥。对于那些商业价值远超过勒索费的关键文件,花钱似乎也是可以理解的。不过话说回来,我们可不能期望犯罪分子们都会永远这样遵守约定。

安全人员的追踪显示,收到勒索信息的用户中有15%进行了支付,让这种勒索的收益很是客观——每天40多万美元。试想,如果将其放在国内,通常做贼心虚的电脑小白尝试重启电脑仍然被锁屏和警告之后,只得缴钱人民币1000至5000块了事儿。加之网络上曾有流传某某被“约谈”、“喝茶”、“查水表”等等故事,网友在面对国家安全机构时,往往心想多一事不如少一事,破财消灾,谁知却将钱汇入了犯罪分子的帐户,而真正在收到钱款后帮助解锁的是微乎其微,

在2013年底,台湾香港地区已经陆续遭遇来自西方国家的计算机勒索软件。当时,昆明亭长朗然科技有限公司的互联网安全观察员董志军就预测:“CryptoLocker”勒索软件在流经港台之后会逐渐现身于大陆,但是由于语言和支付问题的障碍,暂时犯罪分子还不会大范围推广。不过,也不能忽视其被华人或懂中文的犯罪分子快速复制并进行本土化的可能。

让我们简要分析一下网络勒索软件的特点。相对于社交工程诈骗攻击的“巧取”,网络勒索则是让人无奈的“豪夺”。为什么这么说呢?当骗术结合了高科技,便促成了产业化,骗子不怕被多数人们识破,因为他们的目标只是千万人中的一个,等这个警醒过来之后,再挑选下一下。在网络恐吓时代,流氓软件骚扰用户点击广告,或引诱用户购买虚假防病毒软件,用户可以花钱买个教训。而网络勒索,则明明是在“放长线,钓大鱼”,通过各种手段,威胁和控制受害者不断地向其提供所需利益,这是个无底洞。

网络勒索及勒索软件是如何上身的呢?过去,犯罪分子对想要实行勒索的对象,要么经过现场踩点仔细观察,要么勾结内部熟人获得帮助。现在,他们借助互联网技术,海量而有针对性地选取勒索对象。他们不仅挑选“富人俱乐部”的成员,也“勾搭”中产阶级甚至工薪阶层,他们绑架的对象已经不再是人质,而是演变成了重要数据、个人隐私或计算设备。通常是员工访问了不安全的网站,网站把病毒下载到终端计算设备上,这些不安全的网站通常包含色情、赌博、异议、暴力、非法破解软件等网站,犯罪分子精心制作的锁屏警告信息就会更容易被人们所取信,因为人们相信自己的网络访问甚至摄像头都会被公安机构进行远程监控。而借助蠕虫传播技术的勒索软件一旦在企业网络内部传播,让大量计算终端感染,那局面将令人瞠目结舌。

勒索软件的开发者团队显然不是那些无聊的,企图制造混乱的脚本小黑客儿。他们显然是为了赢得的有组织的犯罪团伙,原先可能靠制造木马程序和假冒杀毒软件为生,同时兼做钓鱼邮件发送以及僵尸网络建设。他们不会为了勒索软件而放弃使用其它专长,无疑,在遭遇勒索软件时,小白的电脑已经被人远程控制,过些日子,类似的勒索场景又将一次次重复上演。我们相信在移动计算时代,勒索软件将大规模入侵智能手机和平板电脑,自动化的感染渠道加之骗子团队的人工操控和干预,让他们的命中率和杀伤力猛增。他们甚至开始蚕食更广阔的智能家电市场,勒索软件开发者精湛的技艺让不良家电和手机维修者羞愧。

如何防范网络勒索呢?企业的IT安全人员无疑应该担负起这项重要的使命和职责。如下我们分享几招简单的措施。

1.首先,我们需要”未雨绸缪“,及早加强预防措施,除了强化各类技术层面的安全控管体系建设,比如设置多重恶意网站过滤机制、立体的恶意代码扫描清除系统和智能的入侵检测与防御架构。此外,也还需教育用户要多多留心,不要轻易下载、接收和开启陌生的文件及附件;使用更新了的杀毒软件来帮助识别和阻止已知的勒索软件;养成良好的安全上网行为,使用知名的安全浏览器帮助过滤掉部分不良网站等等信息安全方面的基础知识和理念。

2.其次,建立在线数据备份及恢复系统,以便防范万一,保障核心业务数据的安全,防范被勒索软件恶意更改。同时还需要教育用户将重要文件进行备份,以便在文件遭到损毁后能够立即恢复,使用一次性只写光盘或备份至企业云端网盘都是不错的选择。

3..加强终端安全建设是关键,对于普通计算终端用户来说,除了保障终端计算设备本身的安全,最重要的则是加强信息安全意识。企业安全管理人员需要让用户了解一些线上安全生存的基础法则,并且养成良好的安全使用行为习惯,比如不随意使用无名小站和不良站点,不向不认识的网友泄露个人敏感和隐私信息等等。

4.强化安全应急响应管理,建立网络勒索软件应急处理机制和技术应对能力。比如建立标准化的勒索软件应急处理流程——把设备中的重要数据导出,将终端计算设备清理干净,为防范再次感染,在重装操作系统后立即安装和使用可信的杀毒软件,并且升级到最新的病毒识别代码等等关键步骤和控制项。

5.加强教育用户安全事件报告意识的教育,让用户们有能力识别出网络勒索,并且让他们有意愿立即报告可疑或确认的勒索软件事件,比如当受到他人要挟有把柄在手中怎么办?要让用户们知道:服服贴贴奉上金银正中骗子下怀,而且噩梦只是刚刚开始。不要害怕网络犯罪分子的恐吓,报警或寻求专业的安全帮助才是唯一正确的路子。

6.加强与业界的合作,防范网络勒索等电信诈骗也是警方的职责,而计算机网络信息安全专业人员无疑将帮助调查和分析勒索者的来源,以便及时切断和遏制其遥控源头。很明显,网络勒索是一个社会性的问题,需要多方积极参与,密切配合,方能有效打击勒索业者的嚣张气焰,方能制造出相对平和的互联网安全环境。

在全球看来,网络勒索已经成了一个亿万级美金的大市场。在国内,“好戏”才刚刚开始,这让我们不能轻松,积极主动的预防措施,加之及时有效的响应是获胜的关键。

昆明亭长朗然科技有限公司帮助信息安全管理人员对职工们进行安全意识教育,欢迎和我们联系洽谈业务合作。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

ransomware-data-or-money