《企业安全:员工行为难管控〔一〕.docx》由会员分享,可在线阅读,更多相关《企业安全:员工行为难管控〔一〕.docx(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、企业安全:员工行为难管控一-网络安全频道次元立方网-国内领先安全技术频道-最新IT资讯_电脑知识大全_网络安全教程-次元立方网最近想讲一些我看到企业安全最严重威胁和运营痛点,不出意外,这会是一个系列,里面讲到的所有观点和案例,都是通过实践而来,会基本覆盖我的核心安全观。天天只写1000字左右,没写完的痛点拆开写,文章后面附上一张我们给客户的安全意识墙面小贴士。以往,不管是安全甲方还是乙方,安全工作都是围绕应用跟操作系统去做,比方WAF、IPS、SDL等,解决的都是系统跟应用的问题,所以应用跟操作系统的漏洞越来越少。而唯独只要我跳出来做一家公司解决人的问题,由于在近年我通过浸透测试服务发现,最大
2、的问题不在于系统和应用,而在于人,一切问题都源自于人,人的行为和意识错误导致漏洞频出,今天就讲讲员工的行为难管控的问题。员工行为难管控体如今如下几个方面,有没有发生过此类事件可自行对号:1、滥用云笔记及网盘重灾区将vpn密码、wifi密码、服务器密码、阿里云或运营后台密码记录在个人云笔记、网盘、icloud,技术岗位的人最爱干这事,而且这个行为一旦犯了就会导致企业被直接入侵,什么waf、ips在这种情况下都是摆设。互联网企业的员工,基本上70%以上的员工都会用这些东西,十分是权限多的研发、运维岗位,在以往给客户施行浸透测试服务时,通过这种方式屡试不爽,越是大公司在这块威胁越大,为什么?由于员工
3、多啊,总有X一样的队友。假如员工在公司办公,则能在路由上就能对这些云服务进行禁止访问,但是有几个员工不会把电脑带回家办公呢?这种情况下很难限制员工的行为。来看看乌云上的案例。a、极客学院某员工印象笔记b、豌豆荚某员工印象笔记2、将公司代码存储在Github、oschina、Bitbucket等。这个行为是研发岗位常犯的错误,略微大一点的互联网企业几乎无一幸免,能够去乌云网搜索一下github看看结果。这些泄露的代码有什么危害呢?代码里面包含的邮箱密码、数据库密码,一旦被搞浸透的人拿到,直接登陆企业邮箱,翻到VPN密码,连接数据库,轻轻松松就能把数据库给拖掉,这样的案例过多过多。a、金立员工将代
4、码存放到github。3、员工企业邮箱与外部个人账号密码一致。密码通用的习惯,据经历大概95%以上的人都这么干,在早之前曝光的网易5亿的会员数据泄露等此类事件,曝光的任何一份数据其实在N年前就已经在地下流传,只是有的人不多,民间有的人甚至将国内知名企业都入侵了个遍,手上偷回来的数据达大几十亿条。试想,中国网民才多少,也就意味着,你只要一出生,别人手里就拿着你的信息,你只要一上网,别人就知道你密码是多少!永远都不要在这些人面前谈隐私两个字,人家只会在心里呵呵一下。一个技术岗位的员工,像研发、运维、测试、安全,或者非技术岗位的客服、运营,员工入职的时候,交接文档有没有?交接文档里面有什么?服务器密码、后台地址密码、阿里云密码等等,不仅有,还注释的清清楚楚、明明白白。另外技术岗位基本都有VPN权限,邮件列表里面一搜VPN,密码妥妥的,就算没有,随意编个理由给网络负责人发个申请VPN的邮件,一会儿的时间妥妥的给你把VPN开通好。今日结束,等待明日,敬请关注微信公众号【互联网安全与创业】。企业安全墙面小贴士: