IT技術互(hu)動交(jiao)流平台

体彩天下官网

作者(zhe)︰佚名  發(fa)布日期︰2020-02-20 16:36:36


近期想講一些我看到企業(ye)安(an)全最嚴重(zhong)威脅和運營痛點,不(bu)出(chu)意外,這會是(shi)一個系列,里面講到的所有觀點和案(an)例,都是(shi)通過實踐(jian)而來,會基本覆蓋我ye)暮誦陌an)全觀。每天只寫1000字(zi)左(zuo)右(you),沒寫完的痛點拆(chai)開寫,文章後面附上一張(zhang)我們給客戶的安(an)全意識牆面小貼士。
以往(wang),不(bu)管是(shi)安(an)全甲(jia)方jiao)故shi)乙(yi)方,安(an)全工(gong)作都是(shi)圍繞應用跟操作系統去做(zuo),比如(ru)WAF、IPS、SDL等(deng),解決的都是(shi)系統跟應用的問題,所以應用跟操作系統的漏洞越來越少(shao)。而唯獨只有我跳出(chu)來做(zuo)一家公司解決人shuo)奈侍猓 yin)為在近年我通過滲(shen)透測試服務(wu)發(fa)現,最大的問題不(bu)在于(yu)系統和應用,而在于(yu)人,一切(qie)問題都源自(zi)于(yu)人,人shuo)男形 鴕饈洞砦蟺賈侶┐雌黨chu),今天就說(shuo)說(shuo)員工(gong)的行為難管控的問題。
員工(gong)行為難管控體現在如(ru)下幾個方面,有沒有發(fa)生過此類事件可自(zi)行對號︰
1、濫用雲筆記及網盤(pan)(重(zhong)災區)
    將vpn密碼、wifi密碼、服務(wu)器密碼、阿里雲或運營後台密碼…記錄在個人雲筆記、網盤(pan)、icloud,技術崗(gang)位的人最愛干這事,而且這個行為一旦犯了就會導致企業(ye)被直接入侵,什麼waf、ips在這種情況下lu)際shi)擺設(she)。互(hu)聯網企業(ye)的員工(gong),基本上70%以上的員工(gong)都會用這些東(dong)西,特(te)別是(shi)權(quan)限(xian)多的研發(fa)、運維崗(gang)位,在以往(wang)給客戶實施滲(shen)透測試服務(wu)時,通過這種方式屢試不(bu)爽,越是(shi)大公司在這塊威脅越大,為什麼?因(yin)為員工(gong)多啊,總(zong)有X一樣的隊(dui)友。如(ru)果員工(gong)在公司辦公,則能在路(lu)由(you)上就能對這些雲服務(wu)進行禁(jin)止訪問,但是(shi)有幾個員工(gong)不(bu)會把(ba)電腦帶回家辦公呢(ne)?這種情況下很難限(xian)制員工(gong)的行為。
來看看烏(wu)雲上的案(an)例。
a、極客學院某員工(gong)印象(xiang)筆記

b、豌(wan)豆莢某員工(gong)印象(xiang)筆記

2、將公司jing)氪媧chu)在Github、oschina、Bitbucket等(deng)。
這個行為是(shi)研發(fa)崗(gang)位常犯的錯誤,稍微大一點的互(hu)聯網企業(ye)幾乎無(wu)一幸免,可以去烏(wu)雲網搜索一下“github”看看結果。這些泄露(lu)的代碼有什麼危(wei)害呢(ne)?代碼里面包(bao)含(han)的郵箱(xiang)密碼、數(shu)據庫密碼,一旦被搞滲(shen)透的人拿到,直接登陸企業(ye)郵箱(xiang),翻(fan)到VPN密碼,連接數(shu)據庫,輕輕松松就能把(ba)數(shu)據庫給拖(tuo)掉,這樣的案(an)例太(tai)多太(tai)多。
a、金立員工(gong)將代碼存放到github。

3、員工(gong)企業(ye)郵箱(xiang)與(yu)外部個人賬號密碼一致。
密碼通用的習慣,據經驗大概95%以上的人都這麼干,在早之前曝光的網易(yi)5億的會員數(shu)據泄露(lu)等(deng)此類事件,曝光的任何一份數(shu)據其實在N年前就已經在地下流傳,只是(shi)有的人不(bu)多,民間有的人甚至(zhi)將國內知名企業(ye)都入侵zhi)爍霰bian),手上偷回來的數(shu)據達大幾十億條。
試想,中國網民才多少(shao),也(ye)就意味著,你只要一出(chu)生,別人手里就拿著你的信息,你只要一上網,別人就知道你密碼是(shi)qian)嗌shao)!永遠都不(bu)要在這些人面前談隱(yin)私兩個字(zi),人家只會在心里呵呵一下。
一個技術崗(gang)位的員工(gong),像研發(fa)、運維、測試、安(an)全,或者(zhe)非技術崗(gang)位的客服、運營,員工(gong)入職的時候,交(jiao)接you)牡滌忻揮校拷jiao)接you)牡道錈嬗惺裁矗糠wu)器密碼、後台地址密碼、阿里雲密碼等(deng)等(deng),不(bu)僅有,還注釋的清清楚楚、明明白白。另外技術崗(gang)位基本都有VPN權(quan)限(xian),郵件列表(biao)里面一搜“VPN”,密碼妥妥的,就算(suan)沒有,隨(sui)便編個理(li)由(you)給網絡負責(ze)人發(fa)個申請VPN的郵件,一會兒的時間妥妥的給你把(ba)VPN開通好。
今日結束,期待(dai)明日,敬(jing)請關注微信公眾號【互(hu)聯網安(an)全與(yu)創業(ye)】。
企業(ye)安(an)全牆面小貼士︰

Tag標簽(qian)︰員工(gong)  企業(ye)  
  • 体彩天下官网

福建体彩网官网About IT165 - 廣告服務(wu) - 隱(yin)私聲(sheng)明 - 版權(quan)申明 - 贵州快3官网免責(ze)條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容(rong)來自(zi)于(yu)互(hu)聯網,僅供用于(yu)網絡技術學習,學習中請遵循相關法律法規(gui)
体彩天下官网 | 下一页