【牛人访谈】从微软“内鬼”谈信息安全审计
星期五, 十一月 13, 2020
近日,微软曝出前员工利用职务之便窃取并非法出售数字礼品卡获利超过1000万美元,2020年,类似的造成重大损失的内部威胁案例还有很多,例如8月份思科曝出离职员工删除456个虚拟机导致1.6万个WebEx Teams账户被关闭长达两周,造成思科紧急修复问题并赔付客户损失了240万美元。年初,“微盟删库事件”更是让所有中国数字化企业惊出冷汗。
除了内部威胁,包括勒索软件等外部威胁,往往也会利用企业内部人员安全意识薄弱、网络安全实践的不规范以及业务流程和管理系统的缺陷实施攻击。这些都凸显了信息安全审计的重要性,尤其是在双十一和黑色星期五接踵而来的网络购物(和网络攻击)旺季。
近日,安全牛专访了信息安全审计专家陈圣,就最近业界较为关注的第三方支付、员工网络安全意识、等级保护等领域的管理漏洞和实践盲区,以及信息安全审计的落地与影响,进行了深入的分析和探讨。
陈圣,MCSE、MCITP、CISA、PRINCE2、国家信息安全师(三级/高级),从业15年,目前某第三方支付公司的信息安全专家,负责信息安全、风险管理、隐私保护等工作,企业内训兼职讲师。曾在台湾证券交易所前上市公司从事过多年的系统集成顾问、内部控制及内部稽查工作,后在美上市公司做过多年的内部稽查及信息安全审计工作,参与过等保在内及ISO27001/2相关的信息安全体系建设。
安全牛:国家在“十三五”期间正大力实施“互联网+”行动计划,对金融行业进行了深化部署,第三方支付行业应该也是金融行业的衍生,这将对行业内信息安全审计会哪些影响?就您从业经验来看,当前第三方支付信息安全建设会有哪些趋势?
陈圣:第三方支付行业包括互联网支付、移动支付、银行卡收单、聚合支付、跨境支付等,属于互联网金融的范畴,其业务模式就是网络技术与通讯技术相融合,实现资金划拨、在线实时支付转账、投融资及提供信息类资源中介等服务,其功能实现都是依托在大数据和互联网之上的,由于第三方信息安全面临的巨大威胁,加强第三方支付类公司的信息安全审计控制将变得异常重要,无论是业务流程、数据管控,以及监管层对用户隐私信息保护的要求也上升到前所未有的高度。
当前信息泄露是行业中最为关注的风险,其次是恶意刷单、业务欺诈、WEB攻击、DDOS及APT攻击,在实际工作中会发现,例如业务流程在设计中存在缺陷、开发所提的安全需求不清晰、测试环节应对业务场景了解不充分、以及程序员编程代码不规范的情况时有发生,这些都是导致信息安全风险的技术因素;而对信息安全重视程度较低、安全类岗位职责不明确及安全类从业人员胜任度不高等,这些都是导致信息安全风险的管理因素。以上环节无论哪一点出现风险事件,必将给企业带来不小的损失。
随着企业对安全的重视程度的不断深入,或自建团队或委托专业组织,逐步展开对自身信息系统的安全审计部署,主要为了实现两个目的:一是完善审计制约,通过信息安全审计,不断揭示违背信息安全标准及规范的事项,不断揭露违规操作及舞弊行为加以整改;二是审计促进,即通过科学的方法论与企业实际情况相结合,有效保证企业的客户信息、敏感数据及个人隐私等关键数据在其生命周期的安全性、保密性、一致性,更好地促进组织内部控制等制度的建立,促进企业自身信息安全管理体系的形成和完善。
我这里讲的信息安全审计其实包括了传统的安全管理员利用安全工具对信息系统用户操作行为进行记录、留存和分析的“安全审计”,也包括了信息系统审计师对信息系统控制的存在性和有效性进行检测和评价的“信息系统审计”的相关内容。
安全牛:刚刚您也说到:信息安全审计需要通过科学的方法论和企业实际情况相结合,是否能详细的谈谈您的经验。
陈圣:我个人最先接触到的就是ISO/IEC 27001标准,这个标准当时将信息安全管理分为11个类控制项、39项控制目标、133项控制措施,其中控制包括信息安全组织、安全方针策略、访问控制、业务连续性管理等等,信息安全审计是管理控制中的一种,其实就是运用审计的思路,对安全实施控制和管理。
实际工作中通过业务运维审计、数据库行为审计、网络行为审计和日志审计几方面入手展开日常的审计工作。其中业务运维审计一般通过实时手机和监测网络环境中各个核心系统的状态、触发的安全事件以及异常网络活动,进行分析比较确保网络中相关信息不被非授权用户查阅获取,甚至非法用户非法操作而导致外泄的情况发生;数据库行为审计是对表格数据流协议及TNS协议等数据库访问的必要协议进行分析和解读,同时运用SQL工具的探测功能,实现对SQL语句的审计;网络行为审计就是运用流量分析技术或者抓包协议分析,以累计网络硬件中各种流量日志或监听网络中各类数据包,从而获取网络中异常行为,这部分中最佳实践就是使用上网行为管控设备,需要将办公环境的策略和有关风险了解清楚,从而让运维进行策略部署,而这块的审计需要关注策略有效性和违规异常网络行为的处理;日志审计就是对海量的日志,特别是监管层要求保存的时间及日志持续采集与实时分析,进一步挖掘出针对外部系统和内部管理系统中的异常事件和危险行为,获取审计证据,实现对各类系统及操作的全面审计。
在实际工作中,要更多地关注用户的行为,制度、系统设计得再好,无论如何完善,都离不开人的因素。实际操作很多案例中存在特殊用户的非授权访问及越权行为,这些行为可能会给系统信息安全和数据安全带来威胁,通过有效地控制进一步弥补系统自身的安全漏洞,也能在业务操作层面杜绝可能发生的误操作或违规操作。作为审计实施者,更多地要去了解员工的操作习惯、业务运营流程以及紧密结合业务环节是否合法、合理、合规,同时对IT基础设施、网络架构控制、系统访问控制、业务连续计划及灾备计划都需要行之有效地进行审计实施,可以是阶段性的,也可以是项目性的。
安全牛:您说到您这里更加关注的是人的行为,意识决定行为,在我们的沟通中也了解到,您还是企业内聘专职讲师,那您是否能从审计的视角谈谈员工的信息安全意识问题的?你这里通常是如何做的?
陈圣:通常内部信息系统审计首先会对信息资产进行梳理。如何保障企业内部的信息资产安全,不让那块“短板”(木桶原理)成为每一个企业定位自己的信息安全漏洞的首要课题。举个例子,通常在对办公用的设备进行现场审计检查的时候,随机抽取多部门的办公电脑进行设备安全配置、用户安全管理以及网络通信安全管理等方面的检查,我们会发现很多小问题,比如未装防病毒软件或装了但病毒库更新不及时、安装了不安全软件或与工作无关的非授权软件、密码设置强度不高或长期未修改过、擅自使用自己的手机热点进行未授权的网络站点访问、存有重要数据的移动设备随意乱放、因临时原因账号互借甚至办公用设备互借使用的情况广泛存在。
这些不合规的操作,普遍存在风险隐患,表面上反映出员工信息安全风险识别不足、对制度执行不到位或者检查监督不力,甚至是“执行不严、违规不究”的情况,本来设置用户开机密码,毫无复杂度可言,但就是不执行、执行不到位,为什么?原因有以下几点:
①员工信息安全意识的问题,这些看似小的问题,不能对员工的工作成果或者KPI或者OKR甚至KSF有任何的影响,员工意识里是次要位置,所做一切是以方便他们完成具体的工作目标让路为目的。
②尽管存在客户资料泄露、公司主机被攻击瘫痪、黑客入侵给企业造成损失等负面影响,让员工无法感同身受,毕竟不是发生在自己身上,个别有一两个员工电脑中毒瘫痪主要资料都有备份,剩下的完全交给运维部门处理就完了,员工们依旧无法触动,感同不深。
③缺乏持续深入的信息安全意识宣导,员工普遍认知这些问题都是关乎领导和信息安全部门,自发主动地重视信息安全的相关风险意识并不高。
④责任追究不清晰、不深入、违规成本较低,除非出现大的责任事故,一般企业会就造成损失进行追究,而一些信息安全意识不强造成的问题一般处罚较轻(口头警告)或者不予处罚。比如定期更改密码及密码强度问题,如果系统不强制性进行策略部署,一般人不会想着3个月变更一次密码或者使用强壮密码的。除非审计指出问题后,会立即改正,事后又改回来,给出的理由还特别“充分”——“复杂密码容易忘啊,还是整简单点靠谱……”这个问题既不影响工作,往往领导不会深究,违规成本为“0”,也间接使得员工思想上容易忽视。
如何改善这种情况呢?我觉得有以下几点经验分享:
①将信息安全意识纳入企业文化中去。从新人入司培训开始就制定完整的信息安全培训课件和考核机制,通过强化企业文化中信息安全意识的建设,提高员工的责任感和使命感。
②强化信息安全基础知识教育和培训。通过内部制度学习、公司内部期刊、内部企业公众号、在线专项培训等,为了达到较高的教育培训效果,在培训中插入案例、模拟特定场景如办公职场物理安全等,提高员工的感受度,以便更好地理解和加深印象。预算充足的情况下可以引入第三方专业安全团队进行专业培训,如研发安全、代码安全、社工安全培训等。
③进一步强化协议约束效力。提高员工重视程度如与员工签署保密协议、信息安全政策与程序的协议、定期轮岗或强制休假协议与执行、员工手册及奖罚条例知晓告知书等,让员工深切感受到信息安全就在身边,与员工日常行为密切相关。
④加强监督和检查。进一步强化问题整改与落实责任制,通过定期审计、审查和调查手段,不断强化监督和检查的深度和频率,对问题做到进行及时整改,监督落实到人员及相关领导,同时对违规、舞弊、包庇行为,造成企业资产损失的,坚决予以责任到人,追究处罚,管理层追加处分;违反法律的,追究其法律责任。
安全牛:感谢您系统地阐述了信息安全意识建立的分享,非常具体。国家对信息安全的重视程度,从《网络安全法》的颁布以来,就已经提升到了前所未有的高度,“等保测评”已经成为很多企业现在在信息安全体系建设过程中不能忽视的一个主要环节,您能谈谈针对企业等级保护建设过程中,企业内部安全审计方面还有哪些需要进一步落实的事项呢?
陈圣:目前企业所谓的“等保”就是需要开展等级保护测评的企业,应提交等级备案申请,由当地的公安机关审核通过的。一般定级二级以上的,都需要开展整改和测评工作。具体是依据《信息系统安全等级保护基本要求》等相关标准,对信息系统安全等级状况开展等级保护测评;其等级保护测评报告是信息系统在公安稽核备案时的重要附件材料,信息系统备案需要通过测评。
其实这一测评就是通过统一收集系统中的网络应用或生产设备、系统、应用和终端等基础设施的登录、操作日志及其他各种网络行为数据,通过横向纵向的关联分析从各种类型的数据记录中多层次多角度的跟踪、分析和处理并发现异常事件,及时采取对应措施,这些安全审计手段对其中的个安全域事件日志、网络安全设备、主机及数据库(系统和数据库用户)、重要系统命令的使用等都有相应的审计要求。
在实际测评过程中我们会发现,假如内部安全的设计架构中,对安全要求的重视不够会导致存在很多安全隐患,不仅影响测评结果,还会给企业带来新的安全风险隐患,比如以下几点:
当在对主机和数据库进行内部审计的过程中经常会发现,Linux的主机安全审计功能一般都未开启,针对Windows的主机安全审计功能一般都是系统默认。有的主机即便开启了审计服务但审计对象却只包含了操作系统默认用户,对数据库账号和其他系统账号却“坐视不理”;更有甚者,对审计日志的默认保持路径、存储最大阈值及到达阈值的处理都未设置。
从企业等保测评的结果分析后不难发现,安全审计方面还亟需加强,多数企业信息安全建设都集中在传统的安全基础设施上,如各类防火墙、IPS、WAF等方面,而且绝大数安全管理都依托于这类网关型的安全设备上,却忽略了非常重要的事中监控和事后审计溯源上。针对这类信息安全审计的资金和资源相对有限,由于缺乏有效的审计手段使得企业信息安全等级保护存在不足,企业自身信安管理体系也存在漏洞和短板,不仅容易内部出现风险,例如员工违规操作或网络非法接入;涉及第三方维护层面的系统也面临潜在风险。这时企业就会使用到信息系统审计系统:有运维审计、网络和终端审计、应用系统审计以及综合的安全审计管理平台(如SIEM、SOC、MSS等)。一般来说,按照等级保护的基本要求(等级保护三级系统)对网络及网络安全设备的安全审计基本要求,通常采用网络审计系统,需要对网络数据进行采集、分析、识别,而且能实时动态地监测各类网络流量和网络事件,记录和捕获各种敏感字段或操作、潜在的违规行为,可以实时的报警同时全面记录网络中所有会话和事件,并能够实现评估及安全事件的全程高效跟踪定位。最终按照实际需求输出审计所需的报表。对于运维审计系统要能提供本地、AD域控、Radius及其他数字证书认证,最终实现最小化颗粒度的访问权限控制,对于命令访问控制等高危命令进行告警和阻断,同时最好能对RDP文件传输进行控制,同样颗粒度能达到文件或命令行级别。基于上述情况,通常可以从传统安全设备入手——堡垒机的配置审计,不仅要对字符串、图形及数据库操作层面,在WEB应用、开发应用发布及KVM等各类操作进行审计配置,可以有效地避免人员误操作对数据带来的危害,其审计记录的查询和追溯也是极为方便的。
以上操作只是涉及等级保护要求相关的信息安全审计模式的一小部分,还有很多应用模式有待探讨和研究,最终只有一个目的:真正落地信息安全等级保护的相关要求,确保企业信息安全符合相关法律法规及标准。