正义者联盟大招募圆满结束,正当正义者们举杯庆祝时,新的危机正在悄悄来临。而这一次,令人惊讶的是,危机是来自内
部,对,有“内鬼”!Future公司虽然提前收获了有“内鬼”的消息,但却不知道其身份。正义者联盟刚刚取得上一次战役的胜
利,就要再次面对如此严峻的挑战。
这次“内鬼”的目标是Future公司的最新研究成果,传言有很多竞争对手,出高价要获得这个成功。而任何一个组织内,都
会有各种复杂的可能泄密因素存在:心存不满的员工、一个无意中的误操作,都是泄密的可能途径。那么,究竟,泄密会发生在
哪个环节?
  现在,在无间地狱之中,一群正义的化身和不知何处的黑暗力量即将展开对决,谁会是内鬼?擦亮双眼,抓住他们! 于是,
Future公司再次招募正义者联盟,对抗这场无间危机……

  现有的企业安全解决方案更多关注边界防御,而破坏性安全事件导致重要数据的丢失、非法篡改和破坏对企业而言同样是巨大的安
全威胁。据了解,60%的攻击会涉及到组织内部人员,而企业用于认定内部欺诈行为平均时间却长达87天。对于Future公司当下面临的
情况来说,如此滞后的响应显然已经不能适应公司的安全防御需求。
  由此,Future公司对公司业务流程进行了梳理,并对有可能出现的泄密环节进行了特别关注。并将此作为招募试题向各路慕名前来
的网络安全技术高手进行了展示。

员工Austin,在上次竞聘部
门负责人中因个人能力问题
落选,却对此一直心有不服
,听说有渠道高价收买公司
最新研究成果,Austin动了
歪心。
Austin从网络黑市购买了
用于发送钓鱼邮件的工具
包,并向公司系统管理员
发送了一封钓鱼邮件。
管理员无意中打开了这封邮
件,病毒木马被植入,管理
员的账户密码被A轻易获取
利用这一新的特权账户,
Austin顺利进入到公司核心
数据库中,并着手准备实施
数据窃取。
利用窃取到的管理员的账户
权限, Austin在公司系统
中为自己新开了一个可以访
问核心数据的特权账户。
在某个夜晚, Austin利用
特权账进入公司核心数据
库,将核心数据传向公司
外黑市收购方所提供的服
务器……
完成这些之后, Austin打
算删除网络中之前操作所
有的痕迹,这样就可以神
不知鬼不觉的完成了对公
司核心数据的窃取。

  第一季的正义者联盟招募非常成功,各路豪杰各显神通。享有了一定知名度。如今,第二季正义者联盟招募在即,Future公
司继续请来IBM 的网络安全专家、业界知名大牛担任面试官,选拔精英正义者。
  相信此刻的你也一定想成为一名网络安全的正义者,那么欢迎在正义者英雄榜上留下你的足迹,写下你的对策和建议。
  提交方案需提供针对以上攻击提出具体的整体解决方案思路,其中包括的对抗方式、所运用的安全工具及所用技术等。联盟
将对优秀正义者进行相应奖励。
                  

专家支招面对面
一直以来,企业都将网络安全防御的着眼点,放在了来自外部世界的攻击
和入侵的防御方面。防火墙、入侵防御、流量监测等等网络安全设备和联动
设施,为企业网络筑起了一道道坚实的堡垒。在建立起了严格的边界防护的同时
人们却往往忽视了一个重要的关键点:堡垒也是可以从内部攻破的。
据相关调查统计,60%的攻击会涉及到组织内部人员,破坏性安全事件导致
重要数据的丢失、非法篡改和破坏。但实际上,仍有62%的组织没有特别针对
特权用户行为进行监控和审计;更是有70%的组织没有数据安全...【详细】

QRadar
安全数据和事件的集成点安全事件的实时关联,并能够添加上下文背景数据漏洞扫描和风险评估修复以确定修复的优先次序调查取证以确定谁被攻击。

QRadar
安全数据和事件的集成点安全事件的实时关联,并能够添加上下文背景数据漏洞扫描和风险评估修复以确定修复的优先次序调查取证以确定谁被攻击。

QRadar
安全数据和事件的集成点安全事件的实时关联,并能够添加上下文背景数据漏洞扫描和风险评估修复以确定修复的优先次序调查取证以确定谁被攻击。

一等奖
企业应对安全威胁的方案应从“人”和技术两个方面来入手: 1、安全培训是重中之重:一切安全的问题追溯到源头都是“人”的问题,因此,对企业内部员工的安全培训其实是重中之重的。由此案例可以看出,事件源头仍旧是由员工打开一封钓鱼邮件引起,然后一步一步导致最终的信息泄露。如果员工有足够的安全意识,不去点击这封钓鱼邮件,这一事件或许会在很大程度上就消灭在最初阶段。同样,一个IT管理人员如果对这一事件中任何一个危险环节保持及时的警惕与察觉,窃取就会随时中断,数据最终也有可能不会遭窃取。 2、除去人的因素,技术和安全的设备也是重要一方面,目前,安全攻击越来越复杂,过去仅靠某一个单品安全设备防御某一种攻击的时代已经过去。现阶段的攻击日益复杂,这一方面需要企业布置全方位的抵御攻击的安全产品:如防钓鱼网关、防火墙、入侵防御等一系列产品,同时,还应将这些各司其职的安全产品进行联动,部署统一的安全威胁管理平台,以打破以往各个安全设备间的孤岛状态,实现信息的共享与联动分析,及时发现威胁。
专家点评
这个写的非常好,一般企业总觉得解决安全问题就是买盒子堆盒子,出了安全问题全部是安全小组的问题.实际上解决信息安全问题是需要整个企业全员参与的.其中员工的安全意识教育是非常关键和重要的.在技术部分仅仅局限与防御也是不够的,建立安全威胁检测和响应平台才是最关键的。

二等奖
从该案例看,企业数据最终遭窃取的关键在于掌握关键系统权限的管理员登录权限被盗用。由此,对于企业IT系统的登录权限,应予以重点的关注与给予合理、全面的安全保障措施。如: 1、对登录机制采取多重验证的方式,可以建立类似双密码验证或是密码+证书验证等等方式。 2、对登录系统后的人员行为操作进行基于大数据的智能检测分析,如判断登录地点是否异常、操作行为是否异常等,并及时作出告警。 3、对异常时段的系统登录、流量的输出等也应做出及时告警。如大多数信息的窃取都是在非工作时间段进行的,如能及时发觉,便能避免损失。 4、在进行告警之后,还应有响应的机制进行实时响应,如发现异常并多次告警后暂时冻结该管理员权限,并进一步进行系统及人工的排查确认,以确保万无一失。
专家点评
这个写的很好,将企业特权帐号和敏感数据的监控分为权限控制和异常发现以及应急响应非常符合当前主流的安全管理平台建设的思路.涵盖面也是很广的。

三等奖
这是一个必须技术控制与行政管理手段结合才可以确保安全的案例 技术手段 1. 部署virus firewall(不是垃圾邮件网关,垃圾邮件网关处理不了携带木马的邮件) 2. 利用权限控制软件将核心文件的重命名权限限定在一到两个人,并且保密。 3. 利用网络设备和邮件网关将核心文件的外部发送权限进行二次审核或多次审核。 4. 利用权限控制软件严格控制核心文件的复制行为 5. 所有对于核心文件和数据的访问,必须出发通知邮件机制。邮件可发送至最高管理者,系统管理员及其它有权限访问此类文件的高级管理者。确保对文件的访问是正确的授权行为。 管理手段 1. 管理员不应对业务核心文件或数据有完全控制权限。应对此类文件单独设定控制人及权限,并保密 2. 管理员应该对来自外部的邮件?高度的敏感性。如果不是来自组织内部的发件人,应全部转移至特定文件夹,先进行病毒和木马检查再判断是否打开查阅。此动作可由邮件服务器配合病毒防护系统进行,设置简单。
专家点评
相比上面几个case中将各种安全解决方案堆盒子相比:这篇将信息安全建设分为技术和管理两个方面.在企业的信息安全平台建设中建立针对企业业务的信息安全管理手段才是最重要的,技术只是一种辅助的实现方法.没有好的管理手段,购买的各种安全设备就是一盘散沙无法形成协同作战也无法实现针对企业自身业务的有效安全策略落地。

安全专家:江澎
在IBM从事安全产品售前支持13年,参与过中国移动smp平台,中国联通集中身份管理,中国石化集中身份管理,中国石油集中身份管理平台,中国银行集中安全管理平台,中国农业银行集中安全审计平台等大量国内大型企业安全项目的设计。

比特网编辑:包俊君
ChinaByte比特网安全频道编辑,专注于企业级IT领域的市场、业界趋势,特别是安全等IT领域的产品及解决方案相关采访及报道。

  通过集成的、智能的方式防止数据泄露,能够帮助企业有效的遏制来自内部的信息泄露威胁。在各方网络安全豪杰的全力配合及IBM
安全专家的建议下,Future公司借助 IBM的智能化集成式的内部威胁保护解决方案,进行了有效的组织识别防范内部威胁能力的缺失,
采用集成化的方法,提供清晰的、可行动的情报信息,大大降低了与内部人员有关的数据风险。
  最终,Future公司粉碎了别有用心的内部员工获取公司核心数据的阴谋。正义者联盟再次取得了 这场看不见硝烟的战争的最终胜利,
化解了这场“无间危机”。

员工Austin,在上次竞聘部
门负责人中因个人能力问题
落选,却对此一直心有不服
,听说有渠道高价收买公司
最新研究成果,Austin动了
歪心。
持续监控,
发现威胁立即预警。
通过预先并持续的
对漏洞进行检测和管理,
查找并定位应该最优先
考虑的漏洞、病毒、
木马信息。
PIM将数据库表、授权信息、
交易和角色与敏感信息进行映射;
同时,对公司内部特权账户进行
持续的监控和访问管理,利用
加密证书库,控制共享
账户的签入和签出。
PIM利用会话记录和回放
支持,监控特权用户的行为,
发现特权账户行为异常立即采取
措施。并发送报告给QRadar,
与PIM“共享特权ID”
检出数据做关联。
Guardium依据相关事件和
上下文环境,评估用户行为,
分析威胁动机和迹象。及时
发现非正常工作时间网络流量
突然变化,将相关信息发送
给QRadar。
QRadar 通过外部工作流
触发后续操作,快速锁定攻击者,
并分析确认攻击模式,完成
响应及修复,并保留
攻击证据。
立即获取防御攻略