聊聊“删库”这件事 | FreeBuf甲方群话题讨论

2022-06-08 15:19:55 浏览数 (2)

当企业致力于防御来自外部的攻击时,内部的威胁有时也能杀个措手不及,给企业带来重大损失。前不久,链家数据库管理员删库一案最终被判刑7年,当事人因对公司积怨已久,一气之下删除了大量公司财务数据,致使该公司财务系统彻底无法访问,并影响员工的工资发放,公司为恢复数据及重新构建该系统共计花费人民币 18 万元。而两年前的微盟删库事件影响更甚,导致公司服务器故障时间长达8天,超过300家商户受到影响,市值仅一天就蒸发了10个亿。

可见,删库已成为企业面对来自内部的安全风险时不得不顾及的要素之一,在应对措施上,不仅要考虑对数据、账号权限方面的管理问题,对员工职业道德和职业心理健康的关注也成为不可忽视的一部分。本期话题围绕“删库”,就以上相关问题展开讨论。

(本文所有ID已做匿名处理)

1.针对链家数据库管理员删库一案,大家认为企业对于高风险或者高权限账号应该如何进行有效的管理?

@和风徐徐

对于高权限账号或者高风险账号,个人认为还是主要通过堡垒机进行管控,通过限制高危命令如:rm -rf *等命令限制,然后做好日志留痕、视频审计等审计功能,然后做好备份,就算出现问题也能保证业务连续性、数据恢复。

@无心插柳

这部分其实很大程度涉及风控部门的流程设计和控制,由各企业内部环境决定,对高级运维来说,技术层面除了堡垒机做到事后追溯审计,其他手段很困难,知道是一回事,管理上很难做到完全的职责分离。

@最帅兵马俑

通过堡垒机或者特权管理平台,把安全运维做到实处,至少一些高危命令通过这种设备是能够禁止的;再一个管理上就是老生常谈的职责分离、最小权限 内控审计等要求了,当然这个能做好也不容易。最后就是建立备份恢复机制,把损失降到最低。

@无风

高风险操作一直以来都是依靠堡垒机解决方案,高权限账号应该也统一管理,这种基础设施应该是安全建设的第一步,如果没有只能说安全管理有漏洞。

@翱翔猫咪

可以通过4A——统一安全管理平台解决方案,很多大企业尤其是国企已经使用很多年了,集中帐号管理 集中认证管理 集中权限 集中审计管理,属于依托堡垒机扩展的平台。

@无心插柳

设备这种其实都是可以绕过。

@翱翔猫咪

只要确保防火墙设置,堡垒机是唯一登录的节点。

@无心插柳

这就属于职责分离的一部分,一旦网络也属于他的控制范围,很好绕过。审计有一个说法,一个人知道所有是最大的风险。

@翱翔猫咪

一般网络跟系统运维是分开的吧,防火墙要么属于网络维护单位,要么属于安全组。通过这种平台,严格意义你是没有直接登录到服务器,你是登录到堡垒机,堡垒机把你的命令推送过去,因此可以设置某些敏感命令是失效的。当然 上传下载文件又是另说了。

@残阳

4A我没接触过,账号权限管理系统 堡垒机 高风险流程审批,外加HR部门工作,不能说妥了,起码安全不用背锅。

@翱翔猫咪

后续理想的环境是把4A的认证拿掉,认证用统一认证平台来解决,4A解决运维问题,用零信任解决Web访问问题,三个平台通过接口实现统一

@卢卡斯

单纯从风险管理的角度来说,应当在事前和事中加强管理(毕竟事后都是补救,已经失去了预防的意义)。 事前:首先,部门直属负责人应当充分评估高风险或高权限账号存在的必要性,一定要坚持非必要不建立、不开放、不使用的原则;其次,如确有必要,应联合人力资源部门对此类账号的拥有者做好充分的评估(包含但不限于能力、职业操守和心理健康等);最后,建立此类账号的审批流程和监控预警方案; 事中:在有监控预警方案的基础上,对风险进行评估,做好应急处置预案(例如,操作二次授权,配备操作人和监督员,做好权限紧急剥离方案等)。

2.企业对于重要数据应该如何做好备份,同时防止数据泄露的情况发生?高效且安全的数据管理机制应该是怎样的?

@和风徐徐

有钱肯定上两地三中心,CDP备份,定期进行备份恢复演练。

@晴空

光盘盘阵,磁带库很合适,市场验证几十年了,银行、金融、政府用的很多,而且光盘很便宜。但这个只能异步,不能实时,恢复数据很慢。 其实这几年,由光盘恢复数据、由硬盘恢复数据、由日志恢复数据、由客户端缓存恢复数据都见识过了,体会就是,出问题的时候运维工作,安全工作,牛逼架构等起到的作用都不大,最后都是RMB大佬过来填坑解决问题。再一个就是,舍得花钱的项目,基本都不出问题,扣扣搜搜的都没少崩,后期救火成本不低。

@最帅兵马俑

数据防泄露对于普通企业来说可以从文件外发控制入手,如移动存储管控、文件外发监测、文档自动加密等成熟技术手段综合考虑,采用适合的安全策略,防止数据通过文件载体泄露丢失。 另外建议建立适合企业自身的数据分类分级标准、规范或者数据防泄露策略,这个策略先监测再阻断,逐步满足自身需求。成本较低的建议可以部署文档自动加密 移动存储管控,先一刀切,除非是恶意泄露,一般还是能够有效防止数据基于文件泄露的。另外也注意宣贯安全意识、保密意识也是非常重要。

@卢卡斯

备份是个老生常谈的事情,大多数情况是受限于成本投入了。备份最好的方案就是两地三中心,多地容灾,多云容灾等。成本考虑的话,就定时离线备份吧,光盘和磁带库还是有其价值的,毕竟缺失总比没有要好得多。 防止数据泄露从两方面看待:管理和技术。管理方案自然是做好访问控制管理,坚持最小权限原则,坚持最少人员原则;技术方案就是各类监控系统、数据防泄漏系统、落盘加密存储、独立KMS部署等。 高效且安全的数据管理机制,在咱们这个环境下其实还面临很大挑战。高效和安全,就如同易用性和隐私保护一样,两者大范围内是背离的。另外,个人认为最好的、最高效、最安全的数据管理机制就是信任。

3.为防止发生类似事件,企业对于安全从业人员的职业道德和职业心理健康,应该采取何种方式进行规范、维护或调节?

@和风徐徐

第一肯定是制度,明确告知其操作风险性;第二多关心安全人员心理质素,如钱给够、放假、轮修。

@最帅兵马俑

背景审查、恩威并施吧。另外我觉得咱干安全的人,还是很有责任心的,同时也是懂法守法好公民。删库这事是小概率事件,不代表咱这个整体职业道德出问题。

@无风

其实背调环节就要考虑曾经重大运维过失情况一票否决,特殊岗位应该对招聘人员的情绪管理、逻辑思维能力有一定要求,日常需要不断宣贯企业的管理制度和职业操守,各种个人重大风险报告应该落到员工身上。

@卢卡斯

企业文化、团队文化和管理者人格魅力其实也是可行的,但是,这些年这些东西有点被滥用了,反而成了唱高调的形式主义。发自内心的维护和成长才是最好的。

本期精彩观点到此结束啦

1 人点赞