这是CIO最可怕的噩梦:你接到商业软件联盟(BSA)的电话,说一些微软你的公司使用的软件可能是盗版的。
你调查并发现你的软件不仅是非法的,而且它是由一家秘密拥有和运营的公司卖给你的,而不是别人,而不是你自己的it系统管理员,一个值得信任的员工。当你开始调查管理员的活动时,你发现他在你的公司服务器上运行了一个付费色情网站。然后你发现他从你的电子商务服务器下载了400个客户的信用卡号码。
最糟糕的是:他是唯一一个有管理密码的人。
你认为这不会发生吗?根据一位安全受害者是宾夕法尼亚州一家价值2.5亿美元的零售商。你从来没听说过,因为公司保密了。
尽管偶尔会有关于IT人员变坏的头条新闻(记住特里蔡尔兹),大多数公司会尽可能迅速、低调地掩盖这种情况。
《方案》杂志的年度调查,美国秘密服务和证书(一个程序的卡内基梅隆大学软件工程研究所)经常发现,四分之三的受害者的公司内部人士在内部处理,黎明卡佩里说,技术经理CERT的威胁和事件管理团队。“所以我们知道[公开的]只是冰山一角,”她说。
然而,通过保持沉默,受害公司剥夺了其他人从他们的经验中学习的机会。CERT试图填补这一空白。自2001年以来,该机构一直在研究内部威胁,收集了400多起案件的信息。在其最新的报告中,2009年的“预防和探测内部威胁常识指南”(下载),它分析了250多个案例,CERT发现了一些公司最常犯的错误:招聘过程中的审查不充分,对访问权限的监督和监控不充分,以及忽视行为中的危险信号。
但来自特权累累的IT员工的威胁尤其难以察觉。首先,员工的不法行为可能看起来就像他们的日常工作一样。卡佩里说,IT员工经常“编辑和编写脚本,编辑代码和编写程序,这样就不会看起来像异常活动。”他们知道你的安保最薄弱的地方以及如何掩盖踪迹。你不能依靠技术或任何单一的预防措施来保护自己不受流氓IT人员的伤害。你必须着眼于大局。
卡佩利说:“这不仅需要了解他们在网上做什么,还需要了解工作场所发生了什么。”。“人们真的需要了解这里的模式,数字背后的故事。”
Computerworld去寻找那些数字背后的故事,那些没有被广泛报道的事件。虽然受害的公司不会开口,但帮助清理混乱的安全顾问会开口。尽管每个故事都有独特的环境,但它们一起显示了CERT强调的一些典型模式。雇主,要小心了。
盗版软件——甚至更糟
据约翰•林克斯(John Linkous)称,这家宾夕法尼亚州零售商的悲惨故事始于2008年初,当时BSA通知它,微软发现了许可不符之处。如今,林克斯是安全咨询公司eIQ Networks的首席安全和合规官。他处理这起涉及零售商的事件的经验来自他之前的工作,当时他是Sabera的运营副总裁,Sabera是一家现已倒闭的安全咨询公司。
微软追踪到销售可疑软件的客户公司的系统管理员。出于本文的目的,我们将该系统管理员称为“Ed”。当Linkous和Sabera团队的其他成员被秘密召集调查时,他们发现Ed卖出了超过50万美元的盗版微软,Adobe和液软件给他的雇主。
调查人员还注意到网络带宽使用率异常高。“我们认为有某种基于网络的攻击正在进行,”林库斯说。根据Linkous的说法,他们追踪到一个服务器上有50000多张色情静态图像和2500多个视频。
此外,对Ed工作站的法医搜查发现了一个电子表格,其中包含该公司电子商务网站上的数百个有效信用卡号。Linkous称,虽然没有迹象表明这些数字已经被使用,但电子表格中包含的这一信息意味着Ed正在考虑自己使用信用卡数据或将其出售给第三方。
最初接到BSA电话的首席财务官和高级管理团队的其他成员都担心Ed在面临挑战时可能会做什么。他是唯一一个拥有特定管理密码的人——包括核心网络路由器/防火墙、网络交换机、企业VPN、HR系统、电子邮件服务器管理、Windows Active Directory管理和Windows桌面管理的密码。
这意味着Ed几乎可以劫持公司的所有主要业务流程,包括公司网站、电子邮件、财务报告系统和工资单。“这家伙有通往王国的钥匙,”林科斯说。
因此,该公司和林库斯的公司出于使命发起了一项行动:不可能。他们发明了一个诡计,要求埃德在夜间飞往加利福尼亚。这次长途飞行为林科斯的团队提供了大约五个半小时的时间窗口,在此期间,埃德不可能访问该系统。团队以最快的速度绘制了网络图,并重置了所有密码。埃德在加利福尼亚登陆时,“首席运营官在那里迎接他。他当场被解雇。”
公司成本
据Linkous估计,该事件总共给公司造成了25万到30万美元的损失,其中包括Sabera的费用、Ed在短时间内飞往西海岸的费用、针对Ed的诉讼费用、雇佣临时网络管理员和新首席信息官的相关费用、以及使所有软件授权合法化的成本。
预防措施
是什么阻止了这场灾难?显然,至少还有一个人知道密码。但更重要的是没有职责分离。该零售商有一个小的IT员工(只有6名员工),因此Ed被委托承担管理和安全职责。这意味着他在监控自己。
林克斯承认,对于IT员工规模较小的公司来说,分工尤其困难。他建议小公司监视一切,包括日志、网络流量和系统配置更改,并让系统管理员和他或她的直接下属之外的其他人评估结果。他说,最重要的是让IT人员知道他们正在被监视。
第二,该公司在雇佣Ed时没有进行彻底的背景调查。CERT的研究表明,30%的破坏it的内幕人士都有被捕史。事实上,任何形式的虚假证件都应该引起注意。尽管该公司对Ed进行了犯罪背景调查(这是清白的),但它没有核实他的简历上的凭据,其中一些后来被发现是伪造的。(例如,他没有自己声称拥有的MBA学位。)
第三,埃德的个性可能被视为一个危险信号。“他似乎认为自己比房间里的其他人都聪明,”林科斯说。在这次诱骗行动之前,林科斯假扮成ERP供应商与埃德进行了面对面的会面。埃德的傲慢让林科斯想起了臭名昭著的安然高管。“他非常自信、自大,对其他人非常不屑一顾。”
CERT发现,流氓往往性格易怒。卡佩里说:“我们从来没有遇到过这样的情况,人们在事后说,‘我简直不敢相信——他是个这么好的人。’”
香料外包员工
IT安全研究公司波耐蒙研究所(Ponemon Institute)创始人兼董事长拉里•波耐蒙(Larry Ponemon)表示,“萨莉”是一名系统管理员和数据库经理,曾在一家财富500强(Fortune 500)消费品公司工作了10年,是这家公司最值得信赖、最有能力的IT员工之一。
她被称为pinch-hitter——能够帮助解决各种问题的人。由于这个原因,她积累了许多超出工作要求的高层网络特权。波奈蒙说:“人们倾向于给予这些人比他们需要的更多的特权,因为你永远不知道他们什么时候会需要帮助别人。”
她有时在家里工作,带着配置了这些高级特权的笔记本电脑。Ponemon说,公司的文化是这样的,像Sally这样的明星都得到了特殊待遇。他说:“IT人员对某些政策进行了彻底的颠覆。”。“他们可以决定在他们的系统上需要什么工具。”
但当该公司决定将其大部分IT业务外包给印度时,萨利并不觉得有什么特别。Ponemon说,尽管该公司尚未正式通知IT员工,但IT内部人士显然知道,该部门大多数员工的时间都不多了。
莎莉想要报复。在她被正式解雇之前,她植入了逻辑炸弹,一旦她走了,整个机架的服务器就会崩溃。
起初,公司对发生了什么毫无头绪。他们切换到了冗余服务器上,但莎莉也在那些服务器上放了炸弹。该公司很难控制损失,因为它没有遵循任何明显的韵律或原因。波耐蒙指出:“愤怒的恶意员工会造成很大的伤害,很难立即发现,以后也很难追踪。”
最终,他们追查到莎莉的阴谋,并质问她。作为莎莉同意帮助修复系统的回报,公司没有起诉她。此外,莎莉必须同意绝不公开谈论这件事。“他们不想让她上奥普拉(Oprah)脱口秀,谈论她如何破坏了一家《财富》(Fortune) 500强公司的支柱。”
公司成本
据估计,该公司的总成本为700万美元,其中包括500万美元的机会成本(宕机、业务中断和潜在客户流失),以及200万美元的取证和安全顾问费用等。
预防措施
公司做错了什么?Ponemon说,首先,该事件是“特权升级”的典型例子,即授予某人处理特定任务的特权,但当此人不再需要这些特权时,这些特权不会被撤销。
其次,权利文化没有导致职责分离,也没有对其进行监督。因此,管理层错过了一个重要的危险信号。事件发生后,公司发现Sally在过去三年中“丢失”了11台笔记本电脑。服务台的工作人员知道这一点,但没有人向管理层报告,部分原因是萨利在公司的地位。没人知道她用那些笔记本做了什么;可能是她太粗心了,但“如果你是一名系统管理员,这本身就是个问题,”Ponemon观察到。
第三,考虑到外包决定造成的紧张气氛,该公司本应更加警惕,更加主动地监控可能愤怒的员工。
Ponemon说,即使你没有向员工宣布任何事情,认为他们不知道发生了什么也是错误的。“普通普通员工在首席执行官签署外包合同后的一纳秒内就知道了,”他说。如果您还没有监控您的IT人员,现在是开始的时候了。为了取得最好的效果,在项目开始时,你要公开宣布你现在正在监控员工。
根据CERT的说法,许多蓄意破坏的案例都是心怀不满的员工出于报复的结果。而这些行为可能在眨眼之间发生,正如下面的故事所说明的。
一枪打错了
当这家财富100强公司升级其安全性时,它发现了一个令人讨厌的问题。该公司的一名高级系统管理员在那里工作了至少八年,他偷偷地在该公司的电子商务网站上添加了一个页面。Solutionary战略安全总监Jon Heimerl表示,如果你在公司URL后键入某个字符串,你会看到一个页面,该管理员(我们称之为“Phil”)正在做一个销售盗版卫星电视设备的生意,主要来自中国,受雇解决此问题的托管安全服务提供商。
好消息是:改进的安全措施抓住了罪犯。坏消息是:一个有缺陷的射击程序给了他一次临别射击的机会。
该公司本身是一家高科技设备零售商,它希望尽快摆脱菲尔和网站,因为它担心来自卫星设备制造商的诉讼。但是,当菲尔的经理和安保人员在去他办公室的路上时,一名人力资源代表打电话给菲尔,让他留在原地。海默尔不确定人力资源部的人到底说了什么,但显然这足以让菲尔猜到他完蛋了。