您的位置:首页 > 互联网

一次“删库”致公司市值蒸发25亿 企业如何避免类似事故发生?

发布时间:2020-02-28 19:16:10  来源:互联网     背景:

  “吾恐季孙之忧,不在颛臾,而在萧墙之内也。” 2500年前孔子的这句话,今天依然适用。

  近日,微盟集团发布公告称:因SaaS业务数据遭到一名员工“人为破坏”,导致系统故障。目前,微盟生产环境及数据被严重破坏,约300万个平台商家的小程序全部宕机,其中不乏知名公司及品牌。受此事件影响,该公司26日、27日、28日股票分大跌8%、4%和12.2%,仅仅3天市值就蒸发25亿港元以上。

  一个内部技术人员,让一家上市公司的系统全线崩盘,不仅导致公司和商户损失惨重,更损害了广大投资者和股民利益。某央企运维总经理向媒体表示:“微盟删库事件影响巨大,有可能是一个标志性、拐点性的事件。该事件从架构安全、员工行为、内外部风险、IT运维数据管控机制和制约环节等等方面都暴露出巨大问题,再一次拉响了内部风险的警报。”

  对于每一位企业CIO、CSO而言,除了汲取教训,最紧迫的任务,是思考如何避免此类事故的发生。

  “删库跑路”事件并非偶然

  在IT行业中,有句程序员发泄工作压力的“口头禅”,叫做“删库跑路”。虽然此类事件发生不多,但微盟员工删库事件并非首次,也不会是最后一次。

  一位备注信息为“北京云纵信息技术有限公司CTO”的用户@郑昀提供了一些案例:

  2018年9月,顺丰科技运维高级工程师邓某误删生产数据库,致公司运营监控系统瞬间崩溃,重要功能无法使用并持续约10个小时。最后,该工程师被辞退。

  北京一软件工程师徐某离职后因公司未能如期结清工资,便利用其在所设计的网站中安插的后门文件将网站源代码全部删除。2017年,徐某破坏计算机信息系统罪成立,获刑五年。

  还有某科技公司的技术总监邱某,远程登录公司在阿里云的数据库,删除了数据库上的一些关键索引和部分表格,造成公司经济损失。最终邱某被判处有期徒刑二年六个月,缓刑三年。

  2015年5月,携程官方网站及APP曾大面积瘫痪,无法正常使用。事后携程说明原因,称经技术排查,确认此次事件是由于员工错误操作,删除了生产服务器上的执行代码导致。

  在国外,内部员工对数据的恶意窃取事件也时有耳闻。去年9月,国外媒体最新披露的消息显示,“震网”病毒的初始感染是靠荷兰情报机构雇佣的内鬼操作完成的。荷兰特工上演“间谍行动”,潜入伊朗某核心国防组织,获取了伊朗从欧洲采购非法核计划设备活动的关键情报。

  多起事件放在一起,不难发现都是企业为内部人员赋予了过度的信任所导致的种种恶果,信任已经是网络安全最大的漏洞。奇安信安全专家张泽洲这样表示,“超过85%的网络安全威胁来自于内部,对内部人的信任所造成的危害程度,远远超过黑客攻击和病毒造成的损失。只有解决好信任这个网络安全最大的漏洞,才能维护网络空间安全。”

  零信任网络 近年来热度激增的安全概念

  众所周知,传统的企业安全体系是建立在内外部网络边界的基础之上,假定了内网中的用户、设备和流量通常都是可信的。因此,在这种边界思维的指导下在企业内部网络中缺乏足够的安全访问控制,一旦被攻击者渗入,数据将会完全暴露,极易泄漏。尤其是在云计算、大数据、物联网、5G、人工智能等新技术推动下,企业网络安全边界日益模糊,传统边界安全防护措施几近失效,内部威胁导致的安全事件层出不穷,在此背景下“零信任”应运而生。

  2013年,Forrester、Gartner等众多安全公司提出了“零信任网络”的概念,Forrester认为,当前以数据为中心的世界,威胁不仅仅来自于外部,需要采用"零信任"模型构建安全的网络。在"零信任"网络中,不再有可信的设备、接口和用户,所有的流量都是不可信任的。

  2018年,零信任概念越来越火,网络巨头思科不惜斥资23.8亿元收购身份安全厂商DUO。并且那一年,奇安信提出了“安全从0开始”,把国内零信任的这股风也吹了起来。结合国内的政企客户实践,奇安信赋予了零信任架构四大关键能力:以身份为基石、业务安全访问、持续信任评估和动态访问控制,最终在访问主体和访问客体之间建立一种动态的信任关系,并基于信任关系赋予动态的访问权限。

  再到2019年,RSAC上主打零信任的厂商就逐渐开始增多,大致有39家。而到了今年,RSAC上打着零信任标签的厂商就已经有91家之多,是去年的两倍以上,零信任也因此成为了RSAC2020热度增长最快的热词之一。

  复盘微盟事件 “最小化权限”降低内部人员风险

  我们知道,微盟这位核心运维人员,就是因为权限过大,导致其很容易对系统/数据造成破坏。微盟默认相信该员工不会在权限范围内做坏的事情,缺少对运维人员操作高危、敏感行为进行安全防护,才酿此大祸。

  张泽洲表示,“如果按照零信任思路,应该是这样的机制:首先,基于用户身份默认分配一个满足正常办公的最小权限,其次,基于用户终端环境、访问行为进行多源分析,发现危险及时降低权限,最后,对敏感操作实施多人授权/二次授权机制。从而,保证用户的权限始终保持在满足开展业务的最小权限,减少因权限过大带来的安全风险。”

  据介绍,“零信任”的核心是“从不信任,始终验证”,即假设网络始终存在外部威胁和内部威胁,仅仅通过网络位置来评估信任是不够的。默认情况下不应该信任网络内部或外部的任何人/设备/系统,而是基于认证和授权重构业务访问控制的信任基础。根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态信任评估和访问授权,实现用户访问数据/资源“权限最小化原则”,从而降低微盟“删库跑路”事故的概率。

  写到最后

  “明枪易躲,暗箭难防”,谍战片、宫斗剧,无数剧情都传递一个事实:最信任的人,反而可能是最危险的,最可能产生致命一击的。所以有人说,人是最不可靠的,不管系统存在多少漏洞,人都是最大的漏洞,所谓的利用社会工程学的方法实施APT攻击,无非就是利用人性自身的漏洞。

  “零信任”不是简单的产品和技术,更是一种贴合现实情况的先进安全架构理念。用一句不太贴切的话形容零信任体系:用人要疑,疑人要用。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
双十一苏宁国际1分钟破亿!溯源团最后一站走进乐购仕
昨晚苏宁联合湖南卫视举办的11.11嗨爆夜上,苏宁国际副总裁张康阳一登场就收获了一众小迷妹,不仅是......
日期:11-11
魔便利遭遇网络诽谤,已向公安机关报案
酒店新零售品牌服务商魔便利,近日遭遇所谓“药丸门”事件网络诽谤。魔便利针此次恶意诽谤事件发布了法律维权声明,并...
日期:09-25
媒体报道骚扰电话产业黑幕,法律专家认为存误解
“如果企业与百度之间关于用户信息的获取途径和使用有明确约定,且没有贩卖和窃取,那么在约定......
日期:08-10
游代入感升级 D.T.狄分尼提的ProCinema5.1环绕音箱评测
游戏发展到现在,各种硬件、软件里的音视频质量已经做了大幅提升。游戏机的内容越做越精致,画面越......
日期:08-13
微信青蛙Pro 正式发布
(原标题:腾讯微信支付正式发布“微信青蛙Pro”双面屏:均为10.1英寸,配备3D结构光摄像......
日期:08-27
杰和科技边缘存储管理系统GSM3.0发布会邀请函
尊敬的嘉宾: 杰和科技将于2019年6月30日在北京举办[杰和科技GSM3.0发布会],我们诚挚地邀......
日期:06-11
光猪圈上榜懒熊体育“健身教练最佳发展平台”榜单
光猪圈健身登上“2019健身教练最佳发展平台”榜单第8名!...
日期:05-29
5G+VR应用亮相海丝会 玖的带你探索科技未来
8月23日,2019广东21世纪海上丝绸之路国际博览会、第二十七届广州博览会在中国进出口商品交易会展馆......
日期:08-24
5G发令枪已响 但不必赢在起跑线上
[摘要]韩国5G服务出现了网络信号不够稳定、覆盖范围小、网络接入困难、信号质量差等一系列问题。...
日期:05-08
EVCARD瞄准共享行业智行场景,优化车型备战2020
近几年,共享经济是众多资本关注的风口,在经历了诸多共享汽车如雨后春笋般疯狂冒出之后,国内的共......
日期:12-09
2020版新iPhone11新料:多角度Face ID+暗光拍摄
2020版新iPhone11将在摄像头方面全 main 升级,如拍摄更好的暗光照片、多角度Face ID面部识别、新的......
日期:08-26
北京市新冠病患曾活动场所已全部上线百度地图,北京通App已接入可查看
2月7日,由北京市大数据管理局主办的移动政务和公共服务平台“北京通” App与百度地图展......
日期:02-08
在线教育市场呈“冰与火之歌”局面,万门教育健康发展标杆型企业
导读:许多机构都忽略了“在线教育”最重要的一点——“教育”。满......
日期:01-03
8K+5G助力汰旧换优 苏宁携手夏普开启惠民工程
2019年5月27日,由工信部指导,中国电子视像行业协会与苏宁易购举办的《超清视界 焕彩风暴—彩......
日期:05-28
怎样找回微信聊天记录?双十一限时福利贴
怎样找回微信聊天记录?微信是我们常用的一款社交软件,里面保留了不少我们重要的聊天记录,但微信有......
日期:11-08
智学网精准教学获江阴一中广大师生充分认可
江阴一中创办于1907年,前身为美国教会创办的励实学堂。通过一个多世纪的不断发展,江阴一中已经成......
日期:12-02
五分钟学会调试迅雷链智能合约 程序员升职加薪神器 不外传
如果问区块链研发人员每天跟哪个工具打交道时间最长? 毫无疑问会回答IDE。 毕竟,DApp开发的成本是相当高的。首先,...
日期:04-15
看华为云WeLink,如何持续应对井喷式业务流量增长?
随着过去一周各地纷纷迎来复工,“少开会、少聚集”催生了远程办公的热潮。为助力各行各......
日期:02-14
Link Turbo应用适配稳步推进,荣耀V20实战表现大幅领先
现今的生活中,智能手机对网络的需求越来越大,网络环境与用户体验息息相关,在一些需要低时延、高......
日期:04-30
苏宁315大数据:中央软水引剁手狂潮
苏宁中央集成焕新节战报显示,3月15-17日质惠焕新活动期间,中央空调、中央采暖、新风系统、全屋净......
日期:03-18