某集團事件始末:
2月23日,因公司員工惡意破壞公司線上生產環境及資料,導致公司系統服務不可用。
2月29日,經查,乃某集團研發中心運維部核心運維人員賀某,賀某於2月23日晚18點56分通過個人vpn登入公司內網跳板機,對某集團線上生產環境進行了惡意的破壞,造成了300萬商家的巨大損失。
某集團事件分析觀點:
觀點 :上市公司資料價值高,但往往缺乏嚴密的資料安全保護措施。
我們通常錯誤地認為企業越大,資料安全保護措施會更加嚴密。事實上,順豐刪庫跑路、華住酒店資料洩漏、vps 服務商kuriko資料清空等事件都印證著乙個事實:絕大多數企業在快速發展的過程中,並未投入過多的時間和精力在資料安全領域。而這類企業往往存在許多關鍵的業務資訊,一旦發生諸如某集團刪庫事件,後果不堪設想。
觀點 :企業資料被破壞,受害者到底是誰?
就某集團本次的事件看,核心關鍵的業務資料庫被刪除,意味著核心業務資料的完整性受到了嚴重的破壞,根據相關報道,某集團市值因此一天蒸發了9億,幾乎是致命的打擊,可見資料對業務的影響、業務連續執行對公司財務以及投資人的影響。同樣的,某集團有非常多的商家入駐,如電商、酒店、餐飲類商家,業務也因這次的刪庫事件受到了重創,商家背後的客戶群體也因此失去了原有的客戶體驗。某集團當務之急,除了我們看到的需要解決資料修復問題,還需要對商家進行賠付,總而言之,一系列連鎖反應造成了更多的危機,受害者群體也因此急劇增大。
觀點 :各類安全事件動機多樣化,人是最不可控的因素。
在企業中,常見的破壞資產資訊的動機有:巨大利益的驅動、競爭對手反水,常造成資料盜賣、資料篡改、資料拖庫等事件。公司與員工的糾紛、員工之間的競爭報復、員工個人情緒失控,常造成如刪庫跑路等事件。員工不夠謹慎,造成資料誤刪等問題。而本次某集團事件正是由於個人情緒失控造成的蓄意破壞,屬於典型的企業類資料被人為破壞的案例,從資料安全角度來看,某集團的關鍵任務之一是需要及時採取措施控制內部人員的許可權,以防類似行為重現。
觀點 :某集團企業潛藏的資料安全危機就某集團集團的宣告來看,我們發現了其中潛藏的眾多資料安全危機,
這裡舉例說明。賀某是運維部核心的運維人員,僅通過個人vpn登入公司內網跳板機後,就能夠對核心資料庫進行高許可權操作(如刪除、修改)等,如果按照等保的要求來看,這點已然不符合規定。在某集團這樣含有高度商業機密內容的企業中,應當有嚴密的內控行為管理措施,尤其需要收回dba等高許可權使用者的賬號,嚴格控制其進入資料庫、運算元據庫的許可權,對於資料誤刪除事件,要有資料恢復能力。必要時,需嚴格執行工單審批流程,只有授權後才能進行高危操作,並對惡意告警進行第一時間告警處理。
觀點 :事前監管、事中阻斷、事後追蹤是關鍵。
某集團事件安全問題:
(1)對於運維人員賬號的管理
某集團本次事件追蹤的關鍵動作是對嫌疑人的登入賬號及ip位址,如果內部存在賬號、ip位址被冒用等問題,是否可能存在栽贓、拒不承認等問題?
(2)內部資料安全問題
賀某的行為除了刪庫帶來的眾多後果,也引發了我們對某集團內部資料安全的擔憂,既然賀某能輕易刪除,也意味著其能夠輕易看到資料庫中的所有業務資訊,也就是說,這些商戶的資訊可以倒賣給競爭對手、可以倒賣給其它需要客戶隱私的第三方群體。而某集團內部不僅僅只有賀某擁有這樣的高許可權,其餘的員工行為因此更需要嚴加管控。
(3)容災備份是關鍵
我們認真思考一下,如果集團本次沒有對新、老客戶進行備份,那麼後果不堪設想。對於某集團集來說,這次資料修復、資料恢復需要依靠大量的人力、物力彌補,所以在致商戶的通告中可以看到大部分資料的修復確實需要花費一些時間。
某集團事件安全處理建議:
1. 權責分離和工作輪崗,以及最小化原則:
1. 運維人員,系統管理員,資料庫管理員,資訊保安人員等相關涉及到客戶敏感資訊的人員,賬號許可權分離。
2. 工作輪崗,定期收走特定許可權人員的賬號。
3. 各分類賬號只能處理該職責範圍內的資料。
2. 資料分離。
1. 採取多個備份制度。確保有本地備份和異地備份。 完備,差備,增備根據資料庫的大小選擇實施。
原則上:每天一次全量備份和持續不間隔的增量備份。
2. 資料庫的讀寫分離。
3. 審計監督
1. 賬號審計
定期對運維人員,系統管理員,資料庫管理員,資訊保安人員等相關涉及到客戶敏感資訊的人員賬號進行審計,包括密碼複雜度,離職和轉崗員工賬號的清除。
2. 操作審計
操作審計的前提,相關系統必須提供相應的操作日誌。同時強調資料庫相關涉及客戶敏感資訊操作的系統必須放在堡壘機中,當存在相關敏感性操作的時候,根據設定的規則,自動阻斷或告警。
刪庫刪目錄 跑路
刪庫刪目錄 dirdata public web public apk public h5 thinkphp public js public pay vendor dbhost 127.0.0.1 mysql伺服器主機位址 dbuser 資料庫使用者名稱 mysql使用者名稱 dbpass 資料庫...
集團電話的那些事
8進64出的集團 問題 總機外呼出現忙音 沒有進入集團 話務 但又不是一直不行,外部呼入,出現也是同樣情況。總機號碼 1,然後有3個貌似叫 續承號的 就是電信或者聯通的一種 交換機吧!反正 那邊那貨貌似就是這麼叫的,不管了就叫這個 那就叫續承號吧,其實就是別的固定 號碼.只不過外部呼入的時候,續承號...
mysql刪庫指令碼 MySQL 多例項刪庫指令碼
db版本 5.5.14 os centos 6.3 在測試環境中,在一台伺服器上建立多個例項,在每個例項中乙個乙個刪庫比較麻煩,因此用下面指令碼,可以直接刪除所有庫,除了系統庫以外 bin bash mysql export servers mysql bin mysql for i in dofo...