【IT168 专稿】深圳妇幼信息泄露事件虽然已经过去一年,但"企业内部控制基本规范"将在7月实施,这再次提醒我们:当前的企业网络信息正面临各种各样的风险,外部攻击、内网泄露、违规上网行为、应用业务压力风险等等,我们如何才能掌控全局?
警醒:企业高层内鬼现形记!
对于企业来说,时刻在保护企业的关键数据信息。然而,除了防护外部的攻击,内部的威胁同样巨大。某银行企业为了保护数据,专门部署了RSA enVision审计系统,某天,监管部门收到了一条奇怪的警报……
enVision报警显示:某高层主管Timak在一小时内创建了一个用户帐号Kpbrady,然后又把它删除了。
Timak是该银行某部门的主管,因业务需要具有银行客户系统的管理员权限。从表面上看,这个举动并没有什么异常。
然而,当我们进行关联分析时,就可判断其为:超级用户的异常活动。
Timak创建了一个帐号,单独的创建动作没有任何的问题,每天会有很多次的创建动作,这是一个正常的操作,他删除了一个帐号也是正常的动作。但是他一小时之内先创建后删除,这就是异常动作。
因为这种嫌疑,通过enVision系统进行追查:
首先,从众多的用户账号中,过滤出用户帐号Kpbrady,并找出这个账号所做的所有行为,包括数据访问、撰写、修改等各种操作。对它进行单独审查、分析。我们通过回放会发现他过去一个小时所有的活动,从他创建到删除的生命周期里他做了哪些事情。
通过审看发现,用户帐号Kpbrady修改了单位Oracle里的数据库。因为Oracle里的数据库是不应该被Kpbrady修改的,也不应该被管理员Timak修改。
由此,审计推断出,这种访问行为是非法的。
紧接着,通过enVision Task Triage证据调查数据库,并借助另外的安全官,联系相关的Oracle的管理员进行恢复操作,然后把整个事情解决掉。