人是安全管理中最大的安全隐患。不记得这句话从哪里看到的了。不过我们经常会看到类似于从一个司机邮箱渗透到企业重要系统的案例,越来越热的apt攻击也选择人作为突破口。比如针对Google的极光攻击就是因为一个员工点击了聊天消息的链接从而导致被渗透的。
风险类型
社会工程学
这个大家都很熟悉了。钓鱼,社工库,丢优盘,送路由之类的。利用人性的一些特点来实现攻击。比如某大牛曾经说过随便挑一个下午去滨江阿里巴巴园区的星巴克坐着,就能黑掉网易。
缓解的方法通常就是进行用户安全意识培训,尤其通过一些实例,比如模拟钓鱼,然后公开钓鱼的成果,这样用户印象会比较深刻。下次遇到类似的情况就会考虑多一些。
用户的密码
首先是弱密码,尽管可能有各种防止弱密码的策略。但是工作中首先考虑的是更好更快的完成工作。所以弱密码还是很常见的。此外还可能有很多别的途径可能泄露了密码,像工作中临时提供给需要的第三方没有及时修改等等。降低风险的方式就是实行严格的密码设置策略。不过包含数字字母符号的密码可能依然是字典里存在的弱密码。
用户资产存在漏洞
大公司可能会对所有的办公电脑统一管理,按时升级各种补丁。但是现在有越来越多的设备类型,笔记本,手机,平板等都可能在工作中用到。而这些设备是否存在漏洞,是否安装补丁是用户自己负责的。办公电脑上用户自己安装的第三方软件,比如浏览器等等可能也没有统一的补丁升级策略。降低风险的方法可以通过定期的漏洞扫描来降低风险。
使用各种云服务
云服务的应用越来越广泛,就拿网盘来说,大家都在用。假如把公司的资料放在网盘上是否存在风险呢。如果一些大的网盘提供商被入侵或是数据泄露,那么后果是不堪设想的。其实敏感资料放在第三方之后,就已经不是自己可控的了。降低风险的方法可以培训用户安全意识,尽量选择靠谱的大公司的服务,一些非常重要的资料不要放到第三方那里。
移动设备
移动互联网今天已经如此火爆了。手机中通常也会有工作的资料,比如手机登陆了工作邮箱,手机联系人,甚至邮箱密码等。不仅仅是丢手机,把手机借给别人会导致信息泄露。现在手机更新换代都很快,据调查eBay上卖的二手手机,依然保存有私人数据的比例超过50%。考虑到数据恢复技术,这种风险可能更大。不知道taobao上的这个比例能有多少。前面提到过,手机其实很少有定期打补丁。所以恶意APP导致信息泄露的风险也很高。因为这个是用户自己控制的设备。所以我能想到的降低风险方法可能就是所谓的制定安全策略,进行安全意识培训。
解决方案的探讨
从SIEM的角度来说可以进行用户活动监控,管控风险。SIEM简单来说就是收集环境内的各种设备和应用的安全事件,进行统一解析和关联分析从而进行风险管理和告警的产品。
用户活动监控的概念其实我们都很常用。就是QQ账号异地登陆会有风险提示或者高危操作会锁定账号。把这个概念扩展到用户登陆公司邮箱,登陆 服务器 等等账号的活动。下面通过两个场景看一下这个解决方案的思想。
场景一:社工邮箱密码
攻击者先用awvs扫描公司主页,一番尝试没有发现可以利用的漏洞。然后通过whois查询到网站管理员的工作邮箱。通过一些简单社工和查询社工库获得了该管理员的常用密码,很不幸的是这个常用密码恰好也是管理员工作邮箱的密码。所以攻击者顺利登陆了管理员的邮箱。那么这个过程中,SIEM看到的是什么过程呢。首先awvs扫描网站,siem获取到这些网站日志之后,认为这个来源ip在进行尝试攻击的行为,会把这个ip加入一个黑名单当中。当攻击者登陆邮箱的时候,这时候是从一个黑名单IP登陆了高级别的管理员邮箱(可以对不同人员的账号进行风险评级,就跟对资产进行分级一样)。系统会发出告警。甚至可以临时禁用这个邮箱账号。
场景二:控制员工笔记本获取到敏感信息
公司员工由于在社交网站上点击了一个链接导致个人笔记本被控制。攻击者在笔记本上发现了一个公司服务器的ssh账号。那么攻击者在登陆服务器的时候SIEM可以做些什么呢。ssh登陆服务器,一般都是在公司内,也就是用内网地址登陆的。所以SIEM可以内置登陆ip的白名单。根据公司的工作习惯,可以设置登陆时间一般是早九点到晚九点。那么当攻击者登陆服务器的时候,如果没有用员工电脑做跳板,直接登陆的话。SIEM会看到一个别的地区的ip(比如美国)登陆了我们的服务器,会产生告警事件。如果攻击者为了隐蔽,选择在夜深人静的午夜登陆服务器,那么刚好触发了在非正常时间登陆的策略,也会产生告警。
由于种种原因,不恰当的地方还请大家多多指正。
如何强化安全意识,筑牢安全防线
一、强化“领导”的安全责任意识。 一个单位从一把手到分管安全工作的副手都要有强烈的安全责任意识、危机意识、大局意识。 应时时刻刻把安全工作放到第一位,要有安全责任重于泰山的意识和紧迫感,养成天天想着安全、天天念着安全、天天抓着安全的习惯。 从细微入手,从细节抓起,不放过任何影响安全的不稳定因素,只有安全责任意识到位,牢记“安全”无小事、处处需谨慎,警钟长鸣,才不会在安全工作中出现任何纰漏。 二、强力推进对“安全意识形态”的形成。 在安全意识形态的形成上教育是根本,处罚是手段。 任何一种意识的形成一种习惯的养成都不是一蹴而就的,首先需要我们下大力气去教育,需要出台严密的规章制度去监管,要多组织安全知识的培训,要有的放矢的去培训
班组安全管理:如何开展班组安全活动
工作中实践证明,开展班组“安全活动”是供电企业保证安全生产的行之有效的方法之一,是夯实安全基础的有力保障,但是班组“安全活动”依然存在一些问题,需进一步加以改进。 一、班组“安全日”活动存在的问题 目前班组“安全活动”存在参加人员缺席较多,活动方式形式化,“掺水”现象严重等问题。 其原因可归纳为: 1、各单位安全管理工作中存在忽冷忽热、时紧时松、管理力度时大时小的现象; 2、各单位生产工作中不同适度的存在重效益轻安全的情况,安全第一的原则得不到全面落实; 3、班组“安全活动”的组织者没有经过比较正规的培训,他们的安全管理知识比较匮乏、组织活动能力较差,安全管理水平不高。 4、由于班组“安全活动”存在上述问题,员工的安全意识难以提高,安全防范的能力就比较弱,从而动摇了安全基础,威胁安全生产工作。 二、如何组织班组“安全活动” 1、“安全活动”要充分准备 (1)活动前准备好上一周的安全工作总结,活动中明确指出上一周安全工作中存在的问题及应吸取的教训和整改措施。 (2)组织者注意搜集事故案例,准备好有关的学习资料。 活动中要结合本岗位、本专业的实际情况,运用“举一反三”的办法,引导教育职工。 (3)平时注意对生产骨干的培养,提高他们的安全知识和安全意识,在“安全活动”前提示骨干带头发言,抛砖引玉,确保活动顺利进行。 (4)对出现不安全问题的职工要事前做好思想教育工作,帮助其在“安全活动”时主动提高认识、谈体会、找原因。 这样做的效果要比组织者在活动中直接宣布问题及其性质和批评教育好,且有利于员工互相帮助,共同接受教育,共同提高。 (5)准备好下次活动的主题,让员工提前思考,做好准备。 2、班组员工积极参与 (1)动员班组员工积极参与“安全活动”,如在组织学习事故通报时,可先读通报中的事故经过,而后引导大家分析讨论,找出事故原因,并提出防范措施和处理意见,最后再学习通报中所列的事故原因、防范措施和处理意见。 这样既可提高员工的安全知识、安全意识和主动参与的热情,又可达到让员工自己教育自己的目的。 (2)在“安全活动”中应表扬安全生产中出现的好人好事,可采用口头表扬、班内嘉奖和向上级请奖等方式,并号召大家向其学习。 通过正面引导,有效调动员工的积极性,为安全生产做贡献。 3、“安全活动”要注意联系实际 (1)“安全活动”的内容,包括各种文字材料的学习,都要与本专业、本岗位的实际情况进行必要的对照、解释。 以便从学习材料中吸取精华,达到学为所用的目的。 要避免安全活动与安全生产脱节的不正常现象,防止因活动形式单调而诱发员工的逆反心理,提高安全活动的效果。 (2)“安全日”活动结束前,应留一定时间,用来征求员工对安全工作的意见,并对相关问题给与明确的答复(解释),以使“安全日”活动取得比较满意的效果,从而为安全生产提供有力的保障。
生产企业如何消除安全隐患
我在工厂里就是负责安全的,根据几年的工作经历,安全隐患主要有几个方面: 火灾,用电,设备,工伤 1、要经常检查厂区消防设施情况,配备足够的消防器材,保证消防水源充足,消防通道畅通,无乱堆乱放现象,有专人负责,消防器材定期点检,保证有效期。 2、用电,保证电线不乱拉乱接,不超负荷使用电器。 3、设备安全同样重要,尤其是许多大型、快速工作设备,电梯,砂轮机,发电机等。 4、工伤猛于虎,有条件做体检,有先天疾病的尽量不用。 否则,可能让企业担上最后的责任。
发表评论