网络安全建议:专注于威胁检测和响应

万豪酒店的破产在2018年成为头条新闻,并且谨慎地预计2019年会有自己的高调违规行为。随着威胁形势的不断变化,网络犯罪分子正变得越来越狡猾,越来越多地增加攻击轨迹。大多数公司只关注安全产品但安全产品只关注一条攻击路线 - 例如,电子邮件。您需要考虑的不仅仅是电子邮件,以确保安全。

但是,如何才能提升网络安全状况呢?

专注于预防是不够的

企业必须切实应对他们所面临的潜在威胁,因为网络犯罪事件与今天一样猖獗。对于公司而言,“不是但如果”这种心态经常被警告有关被破坏的风险。实际上,“何时”可能已经过去了 - 你可能已经受到了损害,你需要找到违规行为。

这需要从防御模式转变为专注于威胁检测和响应的模式。许多公司已经从目前流行的任何预防性安全产品(包括网关,端点和防火墙产品)中取得了进展,但仍面临最新的网络威胁挑战。仅依靠以预防为重点的产品,企业可以感受到比实际更重要的“网络安全”。

威胁检测和响应至关重要

适当的威胁检测和响应功能,包括正确的技术,行动计划和知识渊博的安全团队,可以快速识别并有效地解决未来不可避免的攻击。这种方法将确保更具成本效益的安全支出并改善您的安全立场。

充分的威胁检测和响应涉及将专门的安全专家作为您的IT团队的一部分。拥有并建立攻击响应的组织流程同样重要。在技术方面,组织可以选择采购端点威胁检测和响应服务,但这应该包括14×7监控,否则可能会留下安全漏洞。

内部与外部管理

一旦您考虑了构建和监控所需的硬件,软件和人力,在内部处理威胁检测和响应功能可能会非常昂贵。通过服务提供商外包安全和管理可以更具成本效益,并允许更全面的解决方案。例如选择劳格科技SparkleComm统一通信平台,他们有相对安全的解决方案,其消息在内核会加密传输,采用TLS通道传输,所传输数据将会传递一份副本服务器,业务层服务器可集中保存,实现消息记录的追溯。

请记住“不是,何时”警告 - 您可能已经成为网络安全漏洞的受害者。将您的工作从预防转移到威胁检测和响应应该是您的团队2019年的一个焦点,如果不是的话。

网络安全防范时代,你是怎样掉入别人的圈套

近年来,我国面临的网络攻击窃密敌情形势异常严峻复杂。国家安全机关工作发现,2018年以来,境外间谍情报机关对我党政机关、科研院所、军工单位等实施了多轮次大规模的网络攻击窃密活动,造成我境内数百台计算机设备被攻击控制,数十万份文档资料被窃取,涉及政治、经济、军事、外交、科技等多个领域。

由于目前我国对于敌情的意识比较淡薄,没有意识到风险,让不法分子有了可趁之机,而这种淡薄意识往往是最大的风险。

国家安全机关干警表示,当前,境外间谍情报机关很重视通过网络对我们实施技术窃密和情报搜集活动,这种技术窃密活动有频次高、规模大、技术先进的特点,对我们国家秘密安全和网络安全构成严重威胁。

N网络科技公司是国内一家电子邮件系统安全产品提供商,主要负责客户单位内部电子邮件系统的设计、开发和维护。因为具有涉密邮件管理系统建设资质,这家公司来自全国29个省市的1500多家客户中,有很多是党政机关等涉密单位。这些单位每天都有大量的重要信息进出,渠道就是这家公司搭建的电子邮件系统。

然而,就是这样一家有着涉密邮件管理系统建设资质的公司,却发生了一起规模庞大的网络窃密事件,近千家单位的地理位置、邮件系统账号密码和网管人员的联系方式被窃取。

这些信息一旦落入境外间谍情报机关手中,他们就可以对这些重点单位实施更隐蔽、更有针对性的窃密活动,危害我国家安全。B市国家安全机关的办案人员对这家企业进行了调查。

调查发现,这家公司的相关服务器已被境外间谍情报机关远程攻击控制。让办案人员惊讶的是,该公司的核心应用服务器先后被三家境外间谍情报机关实施了多次网络攻击,窃取了大量敏感的数据资料。

这一切是如何发生的呢?原来,随着这家公司业务的发展,客户越来越多,为了方便员工查询,公司就把客户的地理位置、网管人员身份、远程登录方式和账号密码等敏感信息储存在内网服务器中。为了让出差在外的员工也能随时查询,他们还在内网和外网之间搭建了一个连接通道,这样即使不在公司,通过一个VPN账号就可以随时登录内网进行查询。他们自以为这样做毫无风险,不曾想,早已有人密切关注着他们的一举一动,随时寻找可乘之机。

N公司虽然不是核心要害单位,但是同样需要担负起保守国家秘密、维护网络安全的责任,而他们却缺乏保密意识,在为工作建立方便通道的同时,也为境外间谍情报机关网络窃密活动打开了方便之门。

N公司重建设轻管理,重应用轻安全,给相关单位带来了严重的损失。事件发生后,N公司被责令停业整改,并被有关部门依法进行了处罚,同时,国家安全机关要求N公司逐一对此次事件涉及的用户单位进行安全加固,消除危害影响。

这家公司的相关服务器已被境外间谍情报机关远程攻击控制。让办案人员惊讶的是,该公司的核心应用服务器先后被三家境外间谍情报机关实施了多次网络攻击,窃取了大量敏感的数据资料。

这个事情涉及到国防军工的重点单位,42份标注密级的地形图。经保密部门鉴定,全部属于国家涉密测绘图,其中31份为机密级,11份为秘密级。这些地图已经被隐藏的窃密木马程序全部发往境外。这一块的地形图泄露之后,对他们工厂的生产和安全都造成了很大的安全隐患。”

而这一切都是因为王某和肖某通过QQ邮箱传递资料造成的。

王某是W市某局人事科的一名干部。2017年8月的一天,两位国家安全机关工作人员突然出现在王某的办公室,查封了他平时工作使用的电脑。

王某和肖某既是同事又是朋友。肖某的工作内容之一,就是每年都需要做全市的工程规划布局图。因为王某擅长使用一些电脑应用软件,不会电脑制图的肖某常常找王某帮忙绘制电子地形图。

作为政府机关的工作人员,“涉密不上网”是基本常识,但是肖某从档案室借出涉密的地形图后,却扫描成电子版,再通过QQ从互联网上将地图发送给王某。王某完成制图后,再通过QQ将这些图纸发送给肖某。如此往来,就使境外间谍情报机关伺机盗取国家秘密的图谋得以实现。国家安全机关技术人员发现,境外间谍情报机关将窃密木马程序隐藏在电子邮件中发送给了王某。

因案情重大,已对我国家安全构成严重危害,该市立即启动追责问责工作,肖某、王某因违反国家保密法律法规,造成大量国家秘密被境外间谍情报机关窃取,承担直接责任。相关单位13名领导干部,因落实反间防谍主体责任不到位,保密安全意识淡薄,在职责范围内不履行或者不正确履行职责,根据情节轻重不同,分别承担领导责任。肖某因过失泄露国家秘密罪,被该市检察机关立案查处,其他人员均受到不同程度的党纪政纪处分。

纵观上述案件的发生,既有各自的偶然,也有共同的必然。

国家安全机关干警认为:“主要是他们敌情意识比较淡薄,总认为网络攻击这种事情离自己很远,大部分是在电影电视这种影视作品里面会出现,远离自己的这种日常环境;第二个主要是防范能力不足,这个突出反映在他们对这种网络安全的知识不具备;第三点就是相关重点单位的防范体系不足,管理不到位。”

管理不到位,没有扎紧篱笆,是引狼入室的重要原因。Z市政府某局就是没有看管好电子邮箱的大门钥匙,给了境外间谍情报机关实施网络窃密活动以可乘之机。

Z市地处我国边陲,城市的北部,绵延上百公里的边境线上,驻扎着不少边防部队,而某局的工作与部队密切相关。国家安全机关工作发现,这个局的工作邮箱已经被境外间谍情报机关某IP 地址远程控制。

电子邮箱是如何被境外控制的呢?国家安全机关技术人员在对该局计算机进行检查时发现,境外间谍情报机关是通过猜测破解等手段,掌握了该电子邮箱的密码,进而使用密码直接登录邮箱,窃取了文件。那么邮箱密码又是如何被轻易破解的呢?

Z市某局的电子邮箱密码就是办公室电话号码,漏洞恰恰出在这里。境外间谍情报机关了解到我国政府部门普遍存在多人合用一个电子邮箱,而且常将办公室电话作为邮箱密码等使用习惯,利用技术手段搜集到Z市某局电话号码和邮箱账号,成功猜解出密码,从而非法控制了该邮箱。办案人员发现邮箱中存储的近2000份文档资料全部被境外间谍情报机关窃取。这些被窃的文档中详细记载了Z市的驻军分布信息。

由于该单位违规使用互联网电子邮箱传输涉密文档资料,违反了保密安全相关规定,已构成危害国家安全的情形,有关单位对涉及此次网络窃密事件相关领导和干部进行追责问责处理,该局主管副局长孟某被调离工作岗位,多位相关工作人员被诫勉谈话、通报批评并调离工作岗位。

作为国家秘密的生产者、使用者、保管者,维护国家秘密安全,是涉密单位和涉密人员必须履行的责任。有责要担当,失责必追究。2018年以来,国家安全机关联合国家有关部门,累计围绕23起网络失泄密案件进行追责问责,其中多人被检察机关立案调查,93名直接负责人和责任单位领导受到党纪、政纪处分或组织处理。

22日是《中华人民共和国反间谍法实施细则》颁布一周年。实施《反间谍法》就是要为开展反间防谍工作、维护国家安全提供法律保障。在互联网技术高度发达和广泛应用的今天,网络与国家安全息息相关,没有网络安全,就没有国家安全。而在现实中,互联网这个看不见的战场并不平静,境外间谍情报机关通过各种手段窃取我国家机密,危害我国家安全的事件时有发生。维护网络安全和国家秘密安全,是各级涉密单位、涉密人员乃至全社会的共同责任。

今年4月,十九届中央国家安全委员会第一次会议审议通过了《党委(党组)国家安全责任制规定》,明确了各级党委(党组)维护国家安全的主体责任。目前,国家安全机关已经与纪检监察机关建立了间谍窃密案件领导干部问责工作机制,国家安全机关对工作中发现的有关党政领导干部失职失责问题,按照干部管辖权限和相关程序,可提请纪检监察机关开展问责。对涉嫌违反《反间谍法》、《网络安全法》、《保密法》等法律法规,以及渎职犯罪的,国家安全机关还将联合检察机关等有关部门依法追究刑事责任。

网络安全性的关键始终是在黑客与他的目标之间建立尽可能多的障碍层。一旦采用统一通信,我们会增加几个障碍层。

SparkleComm统一通信(UC)为用户的VoIP网络打开了通向新的协作方式的大门。这些协作方式包括即时消息、视频、业务应用和电子邮件。保护语音、数据、视频融合统一的网络是可能的,但越来越大的复杂性意味着更多的企业单位必须在比独立VoIP所需要的更高的级别上参与其中。为了更多集体的网络安全防范,选择更高效、安全的通信平台能够最大限度地杜绝国家安全技术情报的窃取。这也是SparkleComm统一通信的核心所在。

国家安全无小事,千万不能掉以轻心。通过加强我国网络安全领域的立法和执法,不断完善相关规定,积累网络管理经验,将社会各群体的权益法定下来,能够为今后国际合作竞争中保障国家和国民利益争取更多主动。国内专业专项信息安全厂商也迎来大好发展时机,SparkleComm通一通信作为中国移动互联网的数据融合通信平台,全力支持国家政策,不断为企业、政府机关提供切实有效的安全防控解决方案,对数据在使用、存储和流转过程中的安全问题,同时支持客户端(app2app)端到端动态加密,使得通信内容无法被窃听,从而真正意义上保护企业的安全。