StormEye的SIEM和NAS系統的重要性
五月中時,美國紐約信用合作社(New York Credit Union)遭一名離職的遠距工作兼職員工Juliana Barlie以原有的系統登入資訊登入她原任職單位的伺服器,並以指令惡意刪除了21GB的重要業務相關資料。
根據調查報告指出,紐約信用合作社曾要求負責該單位的資訊業務外判商,刪除該名離職人員的登入權限,然而該外判商未有即時處理,而導致公司的重要資料被刪除。Juliana Barlie在登入系統後,用了近40分鐘的時間,刪除了21.3GB的資料,包括20,000個檔案,及3,500個資料夾。而且,大部分被刪除的資料都是客戶的貸款申請資料,非常諷刺的是當中更有該單位為防範勒索軟件攻擊的資訊安全防護軟件。
從以上的個案,我們可以看見公司在警報系統和備份系統都分別犯下了不同的錯誤,才會鑄成大錯。其實離職員工入侵之前工作單位的伺服器偷取或刪除公司資產時有發生,這亦是其中一個網絡隱憂。要保護公司的資料,永遠都應該預防勝於治療,使用StormEye的文件儲存分享升級解決方案(以下統稱StormEye系統)為公司未雨綢繆。
StormEye的自家研發SIEM和NAS系統
首先,就登入公司系統而言,StormEye的系統可以記錄低每一個員工在系統上的登入記錄,以便查閱。StormEye系統會先為每一位員工設立一個個人帳號,讓他們登入公司的電腦系統。系統可以設定登入通知,每當員工登入時,系統都會將登入系統的員工帳號資料和登入時間發送至管理員的帳號,管理員可事先選擇通知的渠道,例如透過電子郵件或電話短訊通知。
就Juliana Barlie的情況而言,如果紐約信用合作社有使用StormEye系統的話,當這位已離職的前員工登入時,監察系統便會立即視作可疑帳號的登入,並立即發送警報信訊,知會她之前所屬單位的電腦管理員。
其次,StormEye系統的控制台(Panel)可以讓管理員自己新增或刪減員工的登入帳號,以方便他們處理新入職或已離任的同事帳號。近年來,企業將自己公司的資訊業務外判出去的情況很常見,然而外判商難以處理一些即時的問題,例如處理員工的帳號,因此,StormEye系統的控制台可供電腦管理員即時開設或刪除員工帳號,這不但加快工作效率,更保障公司的網絡安全,尤其減低離職員工不當地取存公司資料的風險。
就Juliana Barlie的案例,如果她的前公司有使用到StormEye系統,在她離職時,她原本所屬單位的電腦管理員便可立即將她登入系統的帳號刪除,徹底防止她再次登入公司系統作不法的行為,亦可以防止這次事故發生。
再者,StormEye系統中的警報功能可以對向電腦理員據示可疑的帳號活動,並記錄低一切活動記錄,再封鎖該可疑的帳號,以減低公司伺服器中的資料被員工不當使用。當員工在非辦工時間內登入系統,系統的警示功能便會立即自動記錄低該位員工的在系統上的記錄,例如上傳檔案、下載檔案、將檔案複製到其他存儲裝置上,或在伺服器上下載大量的資料等可疑等動作都會被一一記低,不過企業的管理層可以放心,StormEye系統只會記錄在伺服器上的所有動作,並不能閱覽存儲在伺服器上的檔案內容。當發生可疑活動時,StormEye系統就會即時發送警報訊息給電腦管理員,並將其可疑的帳號封鎖,直至管理員將該帳號從封鎖名單上移除,該帳號才能登入並存取檔案。
對紐約信用信作社而言,如果它有使用StormEye系統,當Juliana Barlie登入時,系統就會即時封鎖她的帳號、禁止她在伺服器上作任何動作包括瀏覽、取存發刪除檔案。這樣的話,公司的檔案便不會被她刪除,亦不會因應影響到公司其他作業和客人。
更甚的是,公司應要設立一個多重的備份系統,以備不時之需。StormEye的備份系統可分為兩部分,分別是即時備份系統和額外備份系統,以保障客人的資產。現時大部分企業都會設有一個備份系統,但當中不少的備份內容都是無法檢視,所以備份系統只是求安心之用。一旦公司的伺服器不幸無法運作,而要從備份系統中取回資料時,客戶就會發現原來並非所有資料都有成功備份。有見及此,StormEye的備份系統不但為客戶伺服器上的資料自動備份,更會提供一個監察功能。首先,StormEye的備份系統會連接著客戶公司的伺服器,每當員工上載資料到公司伺服器時,該份資料都會即時自動備份到StormEye的即時備份系統,然後該即時備份系統在每日的預設時間都會將全部資料自動備份到額外備份系統,例如設定在每日零晨十二時,額外備份系統便儲自行複製即時備份系上的資料。StormEye入門版的備份系統是使用Raid 1, 進階版則是使用Raid 5。即時備份系統的作用是萬一公司的儲存資料的硬盤損壞了,即時儲存系統就可以將備份的檔案複製到新的硬盤上。
而額外備份系統的用意是,當公司的伺服器被入侵,例如勒索軟件攻擊時,即時備份系統亦有可能會同時被攻擊而沒法取回資料,又或者員工錯誤地刪除了將伺服器上的檔案,即時備份系統亦會同步刪除此檔案。此時,額外備份系統因為並不是與公司伺服器和自動備份系統同步運作,可以中斷它與自動備份系統的連接,因此它並不會受到影響,可以從中取回資料。
就以這案件來說,如果紐約信用合作社有為公司的電腦系統設置一個全面的備份系統,即使Juiliana Barlie成功登入系統又刪除了大量的資料,它都可以用額外備份系統上的資料還原所有檔案,公司的運作系統就絲毫沒有任何影響,其他客戶亦不會因此而要被迫使用紙本作業申請或繳付貸款餘額。
總括而言,其實所有的企業不論規模大小,只要在日常作業中有使用到電腦系統,都應為自己的電腦系統設置一個全面的網絡保安系統。很多企業均認為有安裝到防火牆、防毒軟體等,再加上公司的IT部門就足夠。然而,在日新月異的網絡世界,網絡病毒、網絡攻擊只會有增無減,而且它們的變化速度越來越快,種類繁多,單靠一般的防火牆和防毒軟件並不足夠抵擋數以萬計的威脅。在過往眾多的案例當中均顯示,很多黑客都是通過細小的漏洞而成功攻擊企業的電腦系統。因此,為自己公司電腦系統安裝一個監察及備份系統,不但可以實時監察電腦系統的狀況,更能保障自己的數碼資產。