警惕乌龙球 人力防火墙才是信息安全最后防线
随着为美国政府和500强企业提供信息安全技术服务的HBGary Federal公司CEO的黯然辞职,人们骤然醒悟,云时代保障企业信息资产安全的核心问题不是技术,而是人,不是部门职能,而是安全意识!企业门户大开的原因不是没有高价安全技术,而是缺乏一道“人力防火墙”。
2011年2月6日,在美式橄榄球超级碗决赛之夜,HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候,发现密码被人修改了,这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态的严重性:作为一家为美国政府和500强企业提供安全技术防护的企业,自身被黑客攻陷了!更为糟糕的是,HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。
对HBgary Federal公司实施攻击的黑客组织“匿名者”随后将战利品——6万多封电子邮件在互联网上公布,直接导致HBgary Federal公司CEO Aaron Barr引咎辞职,由于此次信息泄露涉及多家公司甚至政府部门的“社交网络渗透”、“商业间谍”、“数据窃取”、“打击WikiLeak”计划,HBGary公司的员工还纷纷接到恐吓电话,整个公司几乎一夜间被黑客攻击彻底击垮。
在整个事件中,黑客组织“匿名者”透露的攻击细节中,我们大致能了解到,攻陷这家知名安全公司防卫森严的网络堡垒,其实并不需要才用多么特殊的高深技术,“人”的漏洞最终导致HBGary声名扫地。HGGary Federal的首席执行官Aaron Barr和他领导的管理层犯下了最原始最不可饶恕的信息安全“漏勺”:在所有的账户中使用相同的密码。黑客组织“匿名者”只是通过攻击其企业网站所获得的外围密码,就开启了Barr几乎所有的网络账户:Twitter、Linkedin…当然,最糟糕的是Gmail企业账户,里面有HBgary Federal公司的客户:索尼、强生、杜邦等500强企业的私密信息,当然,还有那些涉及政府部门和组织的“特殊商业计划”。
轰动全球信息安全界的HBgary Federal邮件泄露案,为所有的企业CIO、CSO(首席安全官)敲响警钟,“人”已经成为企业IT风险管理中最为脆弱的环节,上至企业老总、下到企业基层员工,安全意识的薄弱正在成为企业面临的最大IT风险,再强大的安全防护技术,也抵不上关键人员的一次低级错误。与此对应,专门挖掘人性弱点的社会工程学(Social Engineering)也正在成为网络犯罪的最大热点。
就我国而言,现在我们的企业对安全的认识已经在逐步提高, 不少单位都花重金购买了大量网络安全设备和软件。 然而, 目前我们在人员安全意识,特别是提高全员信息安全意识和知识方面还很不够。 而从HBgaryFedera事件得出的教训就是, 黑客往往能够采用最低的成本,从我们最薄弱的人员突破,使得我们花重金购买的设备成了“马其诺防线”。
目前, 各行业企业在建设信息安全管理体系时,提高企业全体人员的信息安全意识目前还面临重重困难,虽然提高员工信息安全意识是各种信息安全管理体系标准中共同的要求,无论ISO27001系列还是国内的等保标准,都会提到对人员的管理和培训,但在具体实施中信息安全意识又是一个最容易被忽视的环节,安全管理信息分散、文档版本凌乱、安全管理制度简单粗暴、新员工无从下手、离职员工信息泄露……。
最近由北京谷安天下科技有限公司发布的《2010年中国企业员工信息安全意识调查报告》显示,国内企业在人员的信息安全意识建设上的现状不容乐观,在很多看起来不起眼的细节上,都隐藏着对企业致命的安全隐患。显然,企业迫切需要提升员工的信息安全意识,建设专业的、人性化的信息安全知识共享平台。
作为国内第一个提出整体IT风险管理的机构,发布该调查报告的谷安天下特别指出:在信息安全的所有相关因素中,人是最活跃的因素,人的行为是信息安全保障最主要的方面。人既可以是最大的潜在威胁,也可以是最可靠的安全防线。为此,谷安天下特别推出了Sec-TV(安全易视)产品,期望通过生动幽默、随时随地的富媒体形式,在企业内部不断潜移默化地培养员工的信息安全意识,让员工成为组织信息安全政策的忠实执行者。
此外,谷安天下也提醒更多的企业管理者,在提高着手员工信息安全意识时,不能指望凭借“三分钟热情”一蹴而就,也不能以偏概,“只见树木不见森林”。而是需要系统地、体系化地进行学习,只有通过包括知识共享、安全培训、安全策略等多方面的,持续的、系统的、专业的企业安全管理体系建设,才能够在企业内部真正搭建起一道让企业高枕无忧的“人力防火墙”。
