您的位置 » 首页 » 渗透测试,科普专线 » 企业安全:员工行为难管控(一)

企业安全:员工行为难管控(一)

发表于6月前 | 作者: seay | 分类: 渗透测试, 科普专线 | 孵化于:2016年07月18日 | 文章热度:4,188 次 全屏阅读

显示不全请点击全屏阅读

    近期想讲一些我看到企业安全最严重威胁和运营痛点,不出意外,这会是一个系列,里面讲到的所有观点和案例,都是通过实践而来,会基本覆盖我的核心安全观。每天只写1000字左右,没写完的痛点拆开写,文章后面附上一张我们给客户的安全意识墙面小贴士。

    以往,不管是安全甲方还是乙方,安全工作都是围绕应用跟操作系统去做,比如WAF、IPS、SDL等,解决的都是系统跟应用的问题,所以应用跟操作系统的漏洞越来越少。而唯独只有我跳出来做一家公司解决人的问题,因为在近年我通过渗透测试服务发现,最大的问题不在于系统和应用,而在于人,一切问题都源自于人,人的行为和意识错误导致漏洞频出,今天就说说员工的行为难管控的问题。

    员工行为难管控体现在如下几个方面,有没有发生过此类事件可自行对号:

1、滥用云笔记及网盘(重灾区)

    将vpn密码、wifi密码、服务器密码、阿里云或运营后台密码…记录在个人云笔记、网盘、icloud,技术岗位的人最爱干这事,而且这个行为一旦犯了就会导致企业被直接入侵,什么waf、ips在这种情况下都是摆设。互联网企业的员工,基本上70%以上的员工都会用这些东西,特别是权限多的研发、运维岗位,在以往给客户实施渗透测试服务时,通过这种方式屡试不爽,越是大公司在这块威胁越大,为什么?因为员工多啊,总有X一样的队友。如果员工在公司办公,则能在路由上就能对这些云服务进行禁止访问,但是有几个员工不会把电脑带回家办公呢?这种情况下很难限制员工的行为。

来看看乌云上的案例。

a、极客学院某员工印象笔记

b、豌豆荚某员工印象笔记

2、将公司代码存储在Github、oschina、Bitbucket等。

    这个行为是研发岗位常犯的错误,稍微大一点的互联网企业几乎无一幸免,可以去乌云网搜索一下“github”看看结果。这些泄露的代码有什么危害呢?代码里面包含的邮箱密码、数据库密码,一旦被搞渗透的人拿到,直接登陆企业邮箱,翻到VPN密码,连接数据库,轻轻松松就能把数据库给拖掉,这样的案例太多太多。

a、金立员工将代码存放到github。

3、员工企业邮箱与外部个人账号密码一致。

    密码通用的习惯,据经验大概95%以上的人都这么干,在早之前曝光的网易5亿的会员数据泄露等此类事件,曝光的任何一份数据其实在N年前就已经在地下流传,只是有的人不多,民间有的人甚至将国内知名企业都入侵了个遍,手上偷回来的数据达大几十亿条。

    试想,中国网民才多少,也就意味着,你只要一出生,别人手里就拿着你的信息,你只要一上网,别人就知道你密码是多少!永远都不要在这些人面前谈隐私两个字,人家只会在心里呵呵一下。

    一个技术岗位的员工,像研发、运维、测试、安全,或者非技术岗位的客服、运营,员工入职的时候,交接文档有没有?交接文档里面有什么?服务器密码、后台地址密码、阿里云密码等等,不仅有,还注释的清清楚楚、明明白白。另外技术岗位基本都有VPN权限,邮件列表里面一搜“VPN”,密码妥妥的,就算没有,随便编个理由给网络负责人发个申请VPN的邮件,一会儿的时间妥妥的给你把VPN开通好。

    今日结束,期待明日,敬请关注微信公众号【互联网安全与创业】。

企业安全墙面小贴士:

Tags:

企业安全,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/4434/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)