企业安全沦陷从内部开始

qingmosk

在e行网上看到一篇新闻：37岁的Jason Cornish于今年2月3日从一家麦当劳餐厅的网络登录进公司内网，删除了15个VMware虚拟主机系统，这些系统运行着公司的电子邮件、订单跟踪、金融等服务。此次攻击导致盐野义的业务停顿了数天，公司雇员无法出货产品，无法通过电子邮件进行联系。盐野义总损失为80万美元。2010年7月，Cornish因与上司争执而辞职，但作为一名顾问他仍然在公司干了两个月。直到9月份他和其他人一起被开除，但公司却没有收回网络密码，Cornish仍能登录进公司内网，访问vSphere VMware管理终端。通过vSphere，他从VMware主机系统中一个接一个的删除了88个公司服务器。
看到这篇新闻，想到一句经典的古语：城堡的沦陷往往是从内部开始的。套用企业信息安全来说，也可能说：信息安全最大的威胁也来源于自部。上述案件就证实了这一点。企业是遭受了巨大损失，需要引起反省：
1、企业的IT资产管理流程问题：对于核心的IT人员离职，没有进行充分的人员离职审计，导致了最终恶果。在IT管理较为完善的企业，任何员工的离职都需要IT部门的离职审计，就是需要确认其IT资产已经移交，其在公司相应的账号、密码，以及相应的密钥介质都需要注销或回收。如果是IT人员离职，其IT审计就更需要严谨了，其所接触过的所有IT系统都需要更换口令，特别是一些系统的管理员口令都需要更换，毕竟对于这些既懂技术，又对企业的服务器和网络配置知根知底的人，任何谨慎措施都是恰当的。
2、企业的服务器与网络配置问题：从该案件可以看到，这家企业的网络管理还是非常初级的，因此其核心系统就暴露在了公用互联网上，没有任何的防范措施，导致直接通过互联网直通其系统核心，一把干掉了88个服务器。换相对高阶一点的黑客来说，即便其没有任何的用户名和密码，估计想要干掉这些系统也并非难事。
从上面的案例中，我们也可以看，在服务器虚拟化与“云”时代，技术带来了IT管理的飞跃，任何IT系统的故障都可以通过远程来解决，无论IT管理员在世界的任何一个角落，只要能够上网，在接收到任何关于IT系统的故障，他都可以通过远程系统进行诊断与修复，但随之而来的问题就是，打开了窗户也许就飞进了苍蝇。这个时候安装一个“防蚊纱窗”就显的尤为重要了，构建安全的IT系统还需要从IT系统基础构架做起。

                               
登录/注册后可看大图

该贴已经同步到 qingmosk的微博

awanggong

mochundong

很值得学习