微盟“删库”事件反思：是时候做好你的安全态势度量，防患于未然了!

【51CTO.com原创稿件】近日，一场曲折离奇的“删库跑路”事件，为互联网行业敲响了警钟。2月23日晚，微盟研发中心运维部核心运维人员竟然通过个人VPN进入公司内网跳板机，直接导致集团大面积服务器集群无法响应，生产环境及数据遭受严重破坏，集团市值一天蒸发超10亿。虽然微盟数据已经全面找回，但是“删库”事件带来的影响还在持续。

关于微盟“删库”事件的反思：企业需主动度量安全态势抵御内外部风险

事发后，微盟深刻地反思和检讨了自身问题，承认公司在数据安全管理和运维人员权限管理上存在明显不足，对于安全监控体系的执行不够到位等等。

其实，受当前疫情影响，不是只有微盟启用了远程办公模式，不是只有那位员工可以通过个人VPN进入自家公司内网，更不是只有微盟面临安全风险。当前，有千千万万家企业的员工在线远程办公，其中很多企业因此产生运营变更行为，比如：计算资源扩容、新应用系统上线、新业务迁移和安全工具配置调整等，面临着包含“删库”在内的各种内外部安全风险。

因此，企业们是时候问问自己：当你的员工通过VPN接入企业内部网络时，办公环境是否划分了逻辑隔离的远程接入安全域?你的安全设备是否对远程接入员工的访问权限进行了限制?是否存在错误配置，存在被外部黑客或内部别有用心的员工所利用……

如果答案是否定的，如果你不想成为下一个微盟，那么事不宜迟，赶紧对企业安全态势状况进行有效评估吧。你应该尽快全面检测可能面临的内外部风险，识别真正的安全风险，然后选择相应的安全手段来应对，以强化防御能力。

一个值得你考虑的主动度量安全态势解决方案

然而在疫情这种特殊时期，对于很多企业来说，受人力和技术的影响，可能无法做到立马就研究出一套可以摸清自身安全态势的解决方案。此时，选择第三方安全技术来做支持，不可谓是个好方法，毕竟安全风险不等人，它就在身边虎视眈眈地盯着你。所以，这类企业不妨选择通过第三方助力，对自身安全情况进行全面检测评估，快速实现对自身安全态势的度量。

这里给大家分享一个比较典型的主动度量安全态势解决方案——是德科技入侵与攻击模拟(BAS)解决方案。先不讲方案的具体框架，我们来看看它是如何工作的。

类似微盟遭遇的这种内部威胁，BAS解决方案可以模拟员工通过VPN进入企业内网，并尝试横向扩展至服务器，然后尝试操作重要数据，如果可以访问到服务器并尝试操作，则会认为存在安全风险，并提供修复建议，比如打开防火墙策略限制用户访问范围，阻止其直接访问数据库。

不仅如此，应对APT攻击这种复杂的高级威胁，BAS解决方案也不在话下。首先BAS会通过自动化方式模拟攻击链的完整过程，通过观察攻击后会发生什么，来判断企业可能存在的内外部风险。一个完整的攻击链包括：钓鱼式攻击、用户行为、恶意软件传输、感染、命令与控制、横向移动以及数据窃取等多个环节。

由于每个环节的攻击模拟与风险评估大致相同，我们仅以钓鱼攻击环节为例来看看 BAS解决方案是怎么做的。黑客利用钓鱼攻击，目的是诱导受害者点击定向到恶意网站或攻击载荷的恶意链接。BAS假设一定会有人打开邮件并模拟点击链接的行为，以此为前提，看看后续的防护行为。BAS在模拟过程中会观察是否有安全控制被触发，不管是入侵防护系统、反钓鱼邮件系统还是防火墙，如果安全控制没有被触发，则可确定有风险存在。

随后，BAS会提供关于安全态势的度量值，通过不同环节特定的度量值，BAS会给出修复建议，反馈哪个安全工具需要开启哪些安全防护功能，以优化工具并强化网络防御。同时，由于模拟的是攻击者整个攻击链条，包括侦查到数据窃取，所以安全人员的风险修复工作变得更容易。

综上所述，BAS解决方案能够帮助企业持续度量安全态势，在不增加安全支出的情况下，降低内外部风险，同时找到当前安全防护范围内，现有产品无法阻挡的攻击。其架构如下图所示，它是一个基于云的平台，通过SaaS方式供企业用户使用。遵循检测评估、风险识别、建议与优化三大步骤，它可以帮助企业度量在数据中心、公有云、私有云和混合网络上的安全态势状况。

是德科技BAS解决方案架构图

该解决方案主要包括三大核心组件：基于WEB的友好页面、“暗云”实体、在企业内网部署的轻量级代理。其中，“暗云”实体是根据需要模拟不同威胁角色，比如：恶意网站、外部黑客、C&C服务器等。而在企业内网部署的代理以Docker容器的形式运行，作为网络内部“目标”或“攻击者”的模拟，从而实现从内到外、从外到内以及内部横向移动的攻击场景。

此外，为了帮助用户抵御新风险，是德科技应用和威胁情报研究团队的研究成果会定期更新到BAS解决方案中，确保可以模拟新的黑客入侵手段和漏洞攻击。

后记

此次微盟因“人祸”而引发的“删库”事件，值得各行业的企业深思，尤其是疫情特殊时期的当下，企业更应该洞悉内外部安全风险，可以采用一种自动化的方法来持续度量安全态势状况，高效及时地知晓风险何时发生，有何变化，以提出有效建议来解决风险。

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】