最近的新聞是 巴拿馬文件一案 , 2.6TB 的內部資料被帶走了 .

內鬼的場景 :

比較弱的狀況 , 主機並沒有放在受監控與管制的機房 ,
任何人可以靠近主機 , 接著如果弄到了 管理者權限 ,
那麼 後面要複製 2.6TB 就容易辦了 . (一顆 3TB 硬碟就可以帶走了)

檔案怎麼被帶離開企業組織 ?

1. 有形的攜帶 , 像是 外接裝置

主機 原本應該要保持 受監控 , 以及 放置在 人員進出管制 區域 .
(如果內鬼就是管理員本身 , 那就傷腦筋了 , 可能還要加上 :
攜帶進出管制區物件檢查 , 以及 網路傳輸的管制 .

2. 透過無遠弗屆的網路

如果是 主機被植入 遠端管理軟體 , 那麼 , 內鬼就不必多次進入機房 ,

因此而引起注意了 . 所以看來 , 連主機可以安裝什麼 , 可能都要 受到交叉管控了 .)

case i.
發生地點如果在內部 , 那麼 gigabit 網路 , 大約 全速 七個小時左右結束 .

(跟下方情境類似 , 應該都要有頻寬管理 , 否則還是容易被發現 .)

case ii.
如果是發生在外部 , 假設企業對外網路是 100Mbps 雙向好了 ,
2,600GB ~ 2,600,000MB 大概是 260,000 秒 ,
差不多要二至三天的時間才能傳輸完畢 . 卯起來佔頻寬 ,
除非是假日才可能發生 . 如果是平日 , 那得 分開傳輸 ,
除非有做頻寬管理 , 否則 長時間連續傳輸 , 照理會有內部
使用者發現 對外網路變慢 .

需要多少時間 ?
看起來 最少需要 7小時(內部 , 就算是 , 拆開主機 複製硬碟也要幾小時) , 到 2~3天(外部) 的時間 .

如果要防範資料盜取 , 透過以上的假想 , 看來有許多 需要檢討監控的項目了 .

防竊 , 一般是在意想不到之處 , 設下偵測器 , 以及警報觸動器 , 設得越多 , 越嚴密 ,
竊賊比較不容易輕易得手 , 但是相對的 監控者得到的假警報的機會就越高 . 像是實體世界中 ,
汽車警報器 / 門鎖與入侵感應與警報器的概念 , 通常是為了增加 竊賊得手的困難度 或者 嚇阻效果 .
(整台車 被垂直吊起運走 , 或者 轟開大門(這算強盜了)這類絕招 , 也是不好防範的 .)

因此 , 資安問題 , 通常第一個是做 弱點分析 , 以 災害的角度來看 , 整個環境 , 檔案流動路徑上 ,
人員 網路 進出存取的 動線上 , 那些是漏洞發生的可能性 . 再考慮修改 過於疏鬆的行為與機制 ,
增設 各類的 警報 與 觸發條件 , 以及 設定 收到警報通知的人員與部門清單 .

比起對抗 遭竊 災害 , 避免檔案損失的備份 , 相對還比較簡單了 .

Last modified: 04/08/2016

Author

Comments

Write a Reply or Comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.