为什么写
去年秋天,上海一家大型连锁零售企业曝出一起持续了两年之久的内部数据盗窃案。公司IT部门的技术主管赵某利用职务便利,在两年间持续从公司数据库窃取了超过两百万条会员信息。这些信息包括会员的姓名、手机号码、购物偏好、家庭住址以及消费能力评估数据。赵某将这些数据通过暗网分批出售给营销公司和竞争对手,累计获利超过八十万元。
更令人吃惊的是赵某的作案手法并不复杂。作为IT主管,他拥有公司数据库的超级管理员权限,可以直接从后台导出任意的数据。为了不被发现,他总是选择在深夜或者节假日操作,而且每次只导出部分数据,分批分类出售。公司虽然部署了数据库审计系统,但因为审计日志没人看,赵某的行为一直没有被发现。直到有一天公司的数据分析团队发现会员数量与数据库记录存在明显差异,才开始追查,最终锁定了赵某。
带来哪些隐患
内部人员监守自盗对企业造成的伤害比外部攻击更大,原因很简单——内部人员熟悉系统,拥有合法权限,知道如何规避监控。
内部人员具备天然的信息优势。他们了解公司的安全措施在哪里,知道哪些数据最有价值,清楚什么时间操作最不容易被发现。案例中的赵某就是利用这些信息优势,在系统中游走了两年而未被发现。企业防御外部攻击可以靠防火墙和入侵检测系统,但对付内部人员的恶意行为,传统的安全防护手段效果十分有限。
权限过大是内部威胁的温床。很多企业出于管理方便的考虑,给IT部门开了过多过大的权限。超级管理员账号意味着可以访问所有的系统和数据,这种权限一旦被恶意使用,后果不堪设想。更可怕的是,很多企业的超级管理员不止一个,而且离职后也常常忘记收回权限,导致权限长期处于失控状态。
近水楼台的心理动机不容忽视。内部人员实施窃密的动机多种多样:有人是因为经济压力铤而走险,有人是觉得自己付出多回报少心理不平衡,有人是准备离职想带走一些数据作为"战略资源"。企业缺乏对员工状态的关注和心理疏导,往往等到出事了才追悔莫及。
审计缺失是纵容犯罪的温床。大量案例表明,内部数据窃取行为之所以能够持续很长时间,根本原因在于企业缺乏有效的数据访问审计。日志记录了却没有专人分析,告警产生了却没有被响应,安全系统变成了聋子的耳朵。
给我们什么提醒
防范内部人员监守自盗,需要从制度和技术的多个层面入手。
权限管理要遵循最小必要原则。给每个员工分配的工作权限应当刚好够他完成本职工作,不多给一分。超级管理员权限尤其要严格控制,可以拆分为多个权限角色,需要多人审批才能执行高敏操作。对于数据库的直接访问操作,应当限定在特定机房的特定终端上。
行为审计和异常告警要真正动起来。特权账号的所有操作都要被记录和审计。数据导出的行为要设置阈值告警,比如短时间大量数据下载、非工作时间的数据操作、从未登录过的服务器突然访问等异常行为应当触发告警并通知安全负责人。
建立员工离职的安全流程。员工离职时不仅要把门禁卡和电脑收回来,更重要的是收回所有的系统权限。对于关键岗位的离职人员,建议在离职前进行数据安全风险评估,确保没有带走任何不该带的东西。
企业文化和沟通渠道同样重要。让员工有合理表达诉求的渠道,有良好的职业发展预期,可以大大降低内部犯罪的心理动机。建立举报机制,让员工在发现可疑行为时可以匿名汇报,也是内部安全防护的重要手段。
企业启示
外部攻击可以靠技术手段有效防护,但内部威胁的防控更多依赖于管理体系和人。北京企密安信息安全技术有限公司认为,企业应当建立覆盖人员全生命周期的内部安全管理机制——从入职时的背景调查和保密协议签署,到在职期间的权限管理和行为审计,再到离职时的数据清理和权限回收,每一个环节都不能掉以轻心。
