企业安全痛点之员工行为难管控

企业安全痛点之员工行为难管控（一）

近期想讲一些我看到企业安全最严重威胁和运营痛点，不出意外，这会是一个系列，前面几篇先说问题，后面再说解决方案，讲到的所有观点和案例，都是通过实践而来，会基本覆盖我的核心安全观。每天只写1000字左右，没写完的痛点拆开写，文章后面附上一张我们给客户的安全意识墙面小贴士。

以往，不管是安全甲方还是乙方，安全工作都是围绕应用跟操作系统去做，比如WAF、IPS、SDL等，解决的都是系统跟应用的问题，所以应用跟操作系统的漏洞越来越少。而唯独只有我跳出来做一家公司解决人的问题，因为在近年我通过渗透测试服务发现，最大的问题不在于系统和应用，而在于人，一切问题都源自于人，人的行为和意识错误导致漏洞频出，今天就说说员工的行为难管控的问题。

员工行为难管控体现在如下几个方面，有没有发生过此类事件可自行对号：

1、滥用云笔记及网盘（重灾区）

将vpn密码、wifi密码、服务器密码、阿里云或运营后台密码...记录在个人云笔记、网盘、icloud，技术岗位的人最爱干这事，而且这个行为一旦犯了就会导致企业被直接入侵，什么waf、ips在这种情况下都是摆设。互联网企业的员工，基本上70%以上的员工都会用这些东西，特别是权限多的研发、运维岗位，在以往给客户实施渗透测试服务时，通过这种方式屡试不爽，越是大公司在这块威胁越大，为什么？因为员工多啊，总有X一样的队友。如果员工在公司办公，则能在路由上就能对这些云服务进行禁止访问，但是有几个员工不会把电脑带回家办公呢？这种情况下很难限制员工的行为。

来看看乌云上的案例。

a、极客学院某员工印象笔记

b、豌豆荚某员工印象笔记

2、将公司代码存储在Github、oschina、Bitbucket等。

这个行为是研发岗位常犯的错误，稍微大一点的互联网企业几乎无一幸免，可以去乌云网搜索一下“github”看看结果。这些泄露的代码有什么危害呢？代码里面包含的邮箱密码、数据库密码，一旦被搞渗透的人拿到，直接登陆企业邮箱，翻到VPN密码，连接数据库，轻轻松松就能把数据库给拖掉，这样的案例太多太多。

a、金立员工将代码存放到github。

3、员工企业邮箱与外部个人账号密码一致。

密码通用的习惯，据经验大概95%以上的人都这么干，在早之前曝光的网易5亿的会员数据泄露等此类事件，曝光的任何一份数据其实在N年前就已经在地下流传，只是有的人不多，民间有的人甚至将国内知名企业都入侵了个遍，手上偷回来的数据达大几十亿条。

试想，中国网民才多少，也就意味着，你只要一出生，别人手里就拿着你的信息，你只要一上网，别人就知道你密码是多少！永远都不要在这些人面前谈隐私两个字，人家只会在心里呵呵一下。

一个技术岗位的员工，像研发、运维、测试、安全，或者非技术岗位的客服、运营，员工入职的时候，交接文档有没有？交接文档里面有什么？服务器密码、后台地址密码、阿里云密码等等，不仅有，还注释的清清楚楚、明明白白。另外技术岗位基本都有VPN权限，邮件列表里面一搜“VPN”，密码妥妥的，就算没有，随便编个理由给网络负责人发个申请VPN的邮件，一会儿的时间妥妥的给你把VPN开通好。

企业安全墙面小贴士：

企业安全痛点之员工行为难管控（二）

昨天的文章说到员工行为难管控的以下三个体现点，受到很多甲方安全运营者的赞同。

1、滥用云笔记及网盘

2、将公司代码存储在Github、oschina、Bitbucket等。

3、员工企业邮箱与外部个人账号密码一致。

除了这些，我们在人员安全检测服务过程中还发现很多这方面的问题，今天接着把这些问题一一列出来，以便于我们后面说明怎么解决，案例中讲到的所有故事都是绝对真实。

4、在邮件、QQ、钉钉等沟通工具中直接发送密码。

任何地方发送或者存储密码等敏感的东西，都有很大可能被人搞走，光搞掉目标的邮箱或者QQ，就有一只手都数不过来的方式。所以把密码、私钥、敏感报告这些东西直接明文发送，是我们这些搞人员安全测试的人最喜欢搞的点。

案例：乌云网[巨人网络员工邮箱弱口令导致大量敏感信息泄露]

密码设置的再复杂也无济于事。

5、随意打开陌生人发送的文件或链接

给目标发木马或XSS、CSRF漏洞链接，这种渗透方式相信有不少人用过，对国内非安全岗位员工的安全意识而言，用公开的office或者pdf漏洞绑木马发送，都是在浪费时间，根本用不着这么费劲。之前给一家估值数百亿美元的企业做渗透测试，本身这家企业有一只非常专业的安全团队，团队小伙伴搞了整整几天系统和应用，都没有什么大的进展。

眼看第二天就要交报告，于是我打开官网，让团队专门写木马的小伙伴，生成一个免杀过绝大部分世界级杀毒软件的木马（免杀：杀毒软件正常运行的情况下执行木马无任何提示），打开官网跟客服小妹妹聊了三分钟投诉产品问题，接着发送木马给她，说是产品照片，不到两分钟，小姑娘运行了木马，当天几个小时内，通过小姑娘的电脑作为跳板，将这家企业内网漫游了一圈，数千万的数据截了图写进报告。

其实当时不止客服，通过邮件给商务发木马、通过论坛私信给管理员发木马、通过邮件给售后发木马，全部成功运行木马。

最讽刺的，我是直接发的exe文件，可见国内人的安全风险辨别能力如何。

还有一次给中国最大的互联网企业做渗透测试，小伙伴拿到一个员工内部聊天软件账号密码之后，在一个视频播放器上捆绑木马，视频同放在压缩包里，压缩包命名为“优衣库嵊州版”，接着在内部一个相亲群里发送视频的下载链接，成功运行木马的员工不下于两位数，下载的人数达到40位，你们这些上市企业白领上班都在干嘛！最终通过抓取员工电脑浏览器里保存的密码，入侵了大量的内部系统。

6、内部系统设置弱口令或默认密码不更改。

这里的内部系统指的OA系统、企业邮箱、运营后台、运维系统（不限于nagios 、cacti、zabbix、Jenkins/Hudson）、VPN等等，其中重灾区在企业邮箱，曾经给一家会员数量上亿的上市企业做渗透测试，在不知道员工邮箱列表和默认密码的情况下，纯属靠以下几种组合，撞出60多个邮箱的密码，下载的邮件达30G+。

组合一：个人信息组成的密码

利用普通人的真实姓名生成拼音作为用户名（如wangwei@cnseay.com），这个字典是常备字典，密码以相同的用户名+123，如wangwei123、Wangwei123、wangwei@123，更多的变换下数字，改为521、520、1234、321、123456等， 再针对性一点的，密码大多是姓名加生日，如wangwei1984、Wangwei0906。

这个组合的密码特点是大小写数字都包含，符合大部分密码强度要求。

组合二：企业默认密码

组合为企业域名或名字+年份，比如personsec@2016，除此还有后面数字换为123、321、123456等，也有默认是名字拼音加工号。

组合三：讲臭了的弱口令

如123456、123456789、qq123456、1qaz2wsx、1q2w3e4r、等等。仅仅乌云搜索弱口令就出现14000多条的结果。

今天结束，剩下已经准备好的场景list达到大几十个，比如不安全使用及私建wifi、捡路边的U盘等硬件设备、私自使用红杏出墙等代理插件，我们根据这些场景做成了有趣的室内外大屏幕动画视频和海报、贴士、手册，甚至视频里面的故事情节都是从现实人员安全检测服务中提炼，期待明日内容。

我们给企业客户的墙面安全意识小贴士：

企业安全痛点之员工行为难管控（三）

累计到昨天的文章说到员工行为难管控的以下六个体现点。

1、滥用云笔记及网盘。

2、将公司代码存储在Github、oschina、Bitbucket等。

3、员工企业邮箱与外部个人账号密码一致。

4、在邮件、QQ、钉钉等沟通工具中直接发送密码。

5、随意打开陌生人发送的文件或链接

6、内部系统设置弱口令或默认密码不更改。

今天继续新增三个，讲到的这些风险点，几乎每种都能将国内大部分企业强奸N遍，这些东西虽说做安全的人大多知道，但是没有几个甲方安全运营者真正做到治根，值得大家反思怎么做好。

7、路边的U盘插入个人电脑

   黑客刻意丢一个U盘到公司或者某人家门口，这样的情节不要以为只有电影中存在，下面这个是我们用来扔别人公司门口的看似U盘的东西，插入电脑会自动下载木马运行，几乎95%以上的员工会捡走，是不是感觉防不胜防？

8、私自使用红杏出墙等第三方代理插件

   上不了google，登不了facebook、twitter，生活在天朝有很多不方便的事情，甚至去趟某些部门去交钱，还得一副求着人家的样子，活在人家的规则和制度下没办法。不让上怎么办，那就想办法，于是不少人站出来做了免费的代理，比如红杏出墙代理，让大家可以访问墙外的资源，代理服务器的原理是将你的请求发送给目标服务器，接收到返回的数据后再给你，是一个中间人的身份，也就意味着能知道你的数据。

SO问题来了，难免有人在上着代理访问墙外网站的同时，浏览器还登陆着公司运营后台、邮件系统或者zabbix，一样的流量会发送到代理服务器，特别像邮件系统，隔几秒有一次带cookie的ajax请求接收新的邮件，cookie也就泄露给别人。甚至已经有黑客刻意入侵这类代理服务器，每天就盯着看有没有敏感数据。

9、不安全使用及私建wifi

1)、私自建立wifi热点：

   之前拜访过很多不小的企业，经常通过手机都能看到一些有趣的wifi热点存在，比如“xxx的mac”，以及在公司内部办公区，信号比较强的众多热点，可疑之处在于这些热点的名字不是企业名字，为何会存在？答案只有一个，员工私自共享的热点，不信的话大可开着电脑围着公司转一圈，员工这么干，无非三个原因。

A、这角落里面手机连接企业热点信号弱，架个路由桥接。

B、  躲避公司要求手机必须安装神奇的客户端才能访问内网，阿里的员工不少这么干。

C、  某些特殊的岗位要测试东西。

私自建立的wifi热点可能存在弱密码或者密码被其他人得知，等等多种不可控的问题，一旦wifi网络被黑客连接上，则会导致公司内网直接沦陷。

2)、办公网wifi密码分享给访客

   有的员工将办公网wifi密码分享给访客，访客连接上公司wifi，假设访客就是黑客，或者假设黑客通过入侵访客的电脑来连接公司的网络，都会对公司网络造成巨大威胁，访客需要使用网络时，企业应该提供访客专用wifi热点给访客。

3)、使用咖啡馆等地的公共wifi

   咖啡馆、图书馆等公共场所的wifi可能已经被黑客劫持网络流量，另外也有可能wifi提供者本身对wifi流量进行了镜像，这些行为都会导致公司或个人敏感信息泄露。

结束语

今日结束，员工行为难管控暂时更新到这里，剩下的场景之后再更新，明日上新，开始说第二个痛点，敬请期待。

安全意识墙面小贴士：

【原文：企业安全痛点之员工行为难管控  作者Seay   安全脉搏整理发布】

本文作者：SecPulse

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/50253.html