“生活不如意”,程序员“删库跑路”;几行代码,上市公司二十多亿市值蒸发。这不是小说,而是远程办公环境下,IT运维人员给公司带来真真切切的损失。
疫情之后,“远程办公”在全球爆发式增长,许许多多的传统企业也开始了数字化转型。同时,“远程办公”也给企业管理带来了新的挑战,即如何把数字安全握在自己手中。在企业数字化转型大背景下,数据库、数据资产的重要性愈发明显。因此,就重要性来说,如今IT运维人员已堪比掌握公司资金流的财务人员。
对于握住“数据命脉”的IT运维人员,公司又应该怎样有效约束呢?堡垒机便是方法之一。
“数据命脉”的重要性:员工恶意“删库”致2260万损失
对于任何一个企业而言,数据安全的重要性不言而喻。然而当真正遭遇程序员“删库跑路”这种恶性事件时,有些企业的应对仍然是手忙脚乱。
2020年2月23日,港股上市公司微盟集团(2013,HK)一位IT运维员工贺某因“生活不如意、无力偿还网贷”等原因,在其个人住所通过电脑连接公司虚拟专用网络、登陆公司服务器后执行删除任务,4分钟便将微盟服务器内数据全部删除。
“删库”的后果是,300余万用户无法正常使用微盟SaaS产品,故障时间长达8天14个小时。截至2020年4月30日,造成微盟支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计2260余万元。
贺某是恶意“删库”,给公司带来巨额损失。但IT运维人员为了方便工作的无心之举,也可能严重干扰公司正常经营。2018年12月,Z医院发现门诊缴费和叫号都出了问题,进入数据库后发现“一条命令”不属于正常语句,该命令导致医院HIS系统内挂号信息表被锁定。
该医院HIS系统由北京某公司运营维护,该命令来自这家公司员工夏某某。事后查清,夏某某并非有意为之,而是为了方便工作,私自记录了HIS系统账号密码。其后,又在未经授权或许可的情况下,私自编写了“数据库性能观测程序”和锁表语句,并利用账号密码将该程序私自连接到Z医院HIS数据库,从而导致上述情况。
该事件暴露了两个问题,一是授权问题,北京某公司在网络层面、权限层面都没有做限制,导致夏某某可以随意地连接客户的数据库。其次数据库密码没有进行针对性保管、并且没有定期改密机制,夏某某可以轻松得到密码,从而拿到打开数据库的“钥匙”。
保护数据资产可配备堡垒机
不管是微盟事件,还是Z医院事件,运维人员均可以轻松访问重要资源所在的资产。而如果配备安全性能较完善的堡垒机,则可以从源头上解决这一问题。
手机厂商A公司“优购码”被运维人员盗取就相当具有代表性。A公司运维人员聂某在未经公司授权批准的情况下,从数据库中提取以加密文本数据形式的“优购码”,并使用在工作中从研发部门一同事处获得的解密软件解密成“优购码”明文后,利用“优购码”的优惠信息低价购买A公司手机产品,然后通过闲鱼、微信等软件将全新未拆封手机加价转卖获利。
可以看出,在此过程中聂某没有遇到授权问题,密码问题也被从同事处获得解密软件而破解。而使用了堡垒机,聂某压根就没有权限去访问服务器、数据库,即控制他访问。此外,即使聂某取得了权限,也限制他进行上传下载。即堡垒机就像一道检测门,危险的物品带不进来,公司的核心数据资产、机密信息也带不出去。
堡垒机另一大功能在于托管密码。上述三个恶性事件,密码都被违法人员通过各种手段取得,从而取得进入资产的钥匙。堡垒机托管密码后,密码既不需要人来记,也不用人来管,想要使用密码就必须经过堡垒机的认证授权。经过认证授权后,才给运维人员提供一个小按钮,通过堡垒机连接对应资产。
此外,堡垒机本身还会定期改密,即使运维人员得到之前的密码,可能下一周密码就换掉了,得到了密码也没用。
对于“删库”、资产被无限制的访问以及数字资产被盗取,企业已经如何预防呢?这就必须得提到身份验证。
身份验证是双因子认证的,既需要密码,也需要出具动态认证方式,比如短信验证码之类。这么做的目的,就是为了严格保证运维人员的身份,防止账号被盗用。
身份验证之后,便可以有效进行权限管理。确定运维人员的种类,从而分配不同的权限。比如普通的运维人员有哪些权限,高级管理人员拥有哪些权限。对于“删库”这类平时运维过程中完全不会使用的命令,堡垒机根本就不会给运维人员这种权限。
假如运维人员需要更高的权限以维护数据库,那需要走工单提交领导审批,工单中说明该权限使用时长。比如时长为一个小时,那么,一个小时后权限就会收回。如果运维人员需要获取资产密码进行相关操作,也可通过工单进行获取,工单到期后,密码被收回并自动触发改密操作。并且,在运维人员维护操作期间,堡垒机也会全程录像,以便进行事后的追踪溯源。
事实上,现实中也存在相关盗取、修改数据库数据给公司造成损失,但是找不到责任人的情况。通过身份验证、权限控制、工单审批以及全程录像,可以完整地做到权责明晰。
行业数据概览
9月和10月境内计算机恶意程序传播次数每周呈下降趋势,9月总计27384.6万;10月总计21739.2万,整体较9月减少20.6%。
在境内感染计算机恶意程序主机数量上,10月有535.2万,比9月454.1万上涨17.9%。
境内被篡改网站总数上,10月有10107个,比9月的10604个略有减少;但是其中政府网站数量上,10月有49个,较9月增多13个,政府网站面对的攻击略有增长;
10月境内被植入后门网站总数每周呈下降趋势,累计4592个,较9月略有上涨;针对境内网站的仿冒网页数量,10月有849个,9月657个,上涨29.2%。
10月的信息安全漏洞数量有1295个,较9月的1924个下降32.7%;其中高危漏洞数量上,10月较9月也降幅明显,下降38.6%。每月都有漏洞利用的事件频发,针对安全漏洞问题,一定要在正规途径下载应用,并及时更新,不可大意。
安全漏洞对A股上市公司影响分析:
上市公司受到应用漏洞的影响仍旧严峻
本次安恒信息对4115家A股上市公司进行了CVE安全漏洞影响分析,其中153家A股上市公司受到共137个CVE安全漏洞影响,面临着网络安全风险,占比3.72%。
截至2021年10月的统计结果显示,A股上市公司累计受到CVE安全漏洞影响的行业分布中,占比最高的5个行业分别是工业(25.49%)、信息技术(24.18%)、可选消费(16.34%)、材料(11.76%)、医疗保健(8.50%)。
据2021年10月统计,如下20个CVE安全漏洞对企业影响最大:
其中15个漏洞为2016年到2020年提交的,并且较多为2017年提交的漏洞,表明相关上市公司安全意识与对漏洞的重视有待提高。
据2021年10月统计,受CVE影响的153家上市公司,分布集中在华东、华北、华南及大部分省域中心城市,可见CVE的分布与我国的信息化发展水平联系较为紧密。其中CVE影响数量最多的5个省份(自治区、直辖市)为浙江、江苏、广东、上海、北京,这也是数字化转型较为典型的地区。
在受影响的CVE漏洞中,以应用漏洞居多,占比达到75%以上。其中大部分漏洞来自于Apache和Ngnix。
通过分析,我国上市公司中,应用安全仍然是漏洞重灾区,且存在大量2017年提交的漏洞。随着我国《网络安全法》的出台及等保2.0的施行,相信应用安全的漏洞影响将会持续降低。
在此背景下,每日经济新闻(博客,微博)联合网络信息安全领域上市公司安恒信息(688023,SH),采用国家互联网应急中心权威数据,结合最新的安全形势,收集剖析国内外网络安全信息数据,每月发布网络信息安全月报。这是业内第一份涵盖所有A股上市公司的网络信息安全报告,旨在借助专业解析,让企业、民众进一步认识网络攻击行为,更好地保护自身隐私和数据资产。
此份网络信息安全月报主要包括行业重点资讯、行业安全数据概览以及上市公司安全动态。重点关注应用漏洞等对企业、个人的安全威胁,并提供应对之法。
扫描二维码或点击「阅读原文」开启安全IT运维之路:
记者|朱成祥
编辑|梁枭 孙志成 王嘉琦
视频编辑|郑得锐
校对|段炼
本文首发于微信公众号:每日经济新闻。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(董云龙 )
加载中,请稍侯......