所以，在場景下，如何對(duì)用戶代碼是否符合安全要求作出判定，是安全 檢測的內(nèi)容。
管理內(nèi)部人員威脅
很多公司都意識(shí)到，員工滿懷怨恨地離開或被競爭對(duì)手招募時(shí)，就會(huì)產(chǎn)生內(nèi)部人威脅風(fēng)險(xiǎn)：他們可能會(huì)利用手中的網(wǎng)絡(luò)訪問權(quán)加以，或?yàn)樾鹿椭饔杏脭?shù)據(jù)。撤銷該員工的訪問憑證應(yīng)成為降低此類風(fēng)險(xiǎn)的首要?jiǎng)幼鳌?br/>不過，還有個(gè)不太明顯但同樣危險(xiǎn)的時(shí)刻，那就是新員工入職的時(shí)候。人力資源部門當(dāng)然會(huì)對(duì)員工履歷做盡職調(diào)查，但他們未必會(huì)注意到該員工的所有關(guān)系或動(dòng)機(jī)。業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)可提供此類信息，防止惡意人員進(jìn)入公司。幾年前有家財(cái)富 500 強(qiáng)公司就遭遇了此類風(fēng)險(xiǎn)。當(dāng)時(shí)一名擬錄用的員工被發(fā)現(xiàn)與招募內(nèi)部人企業(yè)數(shù)據(jù)以作勒索的罪犯有聯(lián)系。一旦注意到該威脅，企業(yè)便可拒絕相關(guān)人士入職，并強(qiáng)化針對(duì)此類攻擊模式的安全防御。
新產(chǎn)品發(fā)布時(shí)也是公司的高風(fēng)險(xiǎn)期。知識(shí)產(chǎn)權(quán)代表著公司 80% 的價(jià)值，所以知識(shí)產(chǎn)權(quán)失可能招致災(zāi)難性后果。公司雇員自然擁有公司商業(yè)秘密和產(chǎn)品信息訪問權(quán)，少數(shù)情況下，這種會(huì)誘人犯罪。但真要有員工起了壞心了公司知識(shí)產(chǎn)權(quán)，他們還需要找到的渠道，而這往往涉及 DDW 或其他買賣被盜資產(chǎn)的非法在線社區(qū)。
近的案例中，F(xiàn)lashpoint 分析師在某網(wǎng)絡(luò)犯罪論壇上看到某跨國科技公司尚未發(fā)布的軟件源代碼遭掛牌出售。分析確認(rèn)該源代碼泄露的源頭就是該公司一名雇員，而接到通告后，該公司得以終止與該流氓雇員的合約，并采取補(bǔ)救措施保護(hù)了那款產(chǎn)品。其中關(guān)鍵在于，若非網(wǎng)絡(luò)罪犯在 DDW 上為該來路不正的軟件打出售賣廣告，這名流氓雇員確實(shí)成功繞過了內(nèi)部檢測。在業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)提供的上下文幫助下，很多雇員當(dāng)時(shí)看似無害的行為無疑可從另一個(gè)不同角度解讀。

當(dāng)公司的網(wǎng)站服務(wù)器被黑，被入侵導(dǎo)致整個(gè)網(wǎng)站，以及業(yè)務(wù)系統(tǒng)癱瘓，給企業(yè)帶來的損失無法估量，但是當(dāng)發(fā)生服務(wù)器被攻擊的情況，作為服務(wù)器的維護(hù)人員應(yīng)當(dāng)在快時(shí)間做好安全響應(yīng)，對(duì)服務(wù)器以及網(wǎng)站應(yīng)以快的時(shí)間恢復(fù)正常運(yùn)行，讓損失減少到極低，針對(duì)于hack攻擊的痕跡應(yīng)該如何去查找溯源，還原服務(wù)器被攻擊的現(xiàn)場，SINE安全公司制定了詳細(xì)的服務(wù)器被黑自查方案。
目前網(wǎng)站服務(wù)器被攻擊的特征如下：網(wǎng)站被攻擊：網(wǎng)站被跳轉(zhuǎn)到du博網(wǎng)站，網(wǎng)站首頁被篡改，百度快照被改，網(wǎng)站被植入webshell腳本木馬，網(wǎng)站被DDOS、壓力攻擊。服務(wù)器被黑：服務(wù)器系統(tǒng)中木馬，服務(wù)器管理員賬號(hào)密碼被改，服務(wù)器被攻擊者遠(yuǎn)程控制，服務(wù)器的帶寬向外發(fā)包，服務(wù)器被攻擊，ARP攻擊（目前這種比較少了，現(xiàn)在都是基于阿里云，百度云，騰訊云，西部數(shù)碼等云服務(wù)器）

服務(wù)器的后門木馬查殺360殺毒，并更新木馬庫，對(duì)服務(wù)器進(jìn)行全面的安全檢測與掃描，修復(fù)系統(tǒng)補(bǔ)丁，對(duì)網(wǎng)站的代碼進(jìn)行人工的安全檢測，對(duì)網(wǎng)站漏洞的檢測，網(wǎng)站木馬后門的檢測，也可以使用webshell查殺工具來進(jìn)行查殺，重要的是木馬規(guī)則庫。網(wǎng)站日志，服務(wù)器日志一定要提前開啟，開啟審核策略，包括一些服務(wù)器系統(tǒng)的問題，安裝的軟件出錯(cuò)，管理員操作日志，登錄服務(wù)器日志，以便方便后期出現(xiàn)服務(wù)器被黑事件，可以進(jìn)行分析查找并溯源。網(wǎng)站的日志也要開啟，IIS下開啟日志記錄，apache等環(huán)境請(qǐng)直接在配置文檔中進(jìn)行日志的開啟與日志路徑配置。以上就是服務(wù)器被黑，該如何的查找被黑的痕跡，下一篇會(huì)跟大家講如何更好的做好服務(wù)器的署。

內(nèi)部 TTP 愈趨復(fù)雜
經(jīng)典內(nèi)部人威脅行為涉及向個(gè)人電子郵箱或第三方郵箱地址發(fā)送文件、下載數(shù)據(jù)到可移動(dòng)載體上，以及紙質(zhì)文件，而且惡意內(nèi)部人檢測的手法越來越復(fù)雜了。意識(shí)到公司企業(yè)對(duì)內(nèi)部人威脅的認(rèn)知不斷提升，有些惡意內(nèi)部人也越來越慣于使用安全通信方法了，比如加密服務(wù)和 DDW 論壇。如果缺乏已取得這些圈子準(zhǔn)入權(quán)的老道分析師幫忙，公司企業(yè)幾乎不可能監(jiān)視此類通信渠道。
安全通信信道和 DDW 使用率增高本身就助推了內(nèi)部威脅風(fēng)險(xiǎn)，因?yàn)檫@意味著作惡者可入手更的 TTP 和資源，更便于以有公司數(shù)據(jù)訪問權(quán)的內(nèi)部人身份實(shí)施系統(tǒng)攻擊和數(shù)據(jù)滲漏操作。而且，加入惡意社區(qū)的公司雇員也將自己置入了被外部人員招募的風(fēng)險(xiǎn)之中。這里所說的外部人員就包括希望收買或脅迫內(nèi)部人員數(shù)據(jù)的國家代理人，且此類人員占比呈上升趨勢。
關(guān)注需要資源的地方
必須明確的是，大多數(shù)員工不是惡意的，不帶來惡意內(nèi)部人威脅風(fēng)險(xiǎn)。當(dāng)然，有些員工會(huì)犯錯(cuò)，或者偶爾表現(xiàn)異常。事實(shí)上，新加入員工的網(wǎng)絡(luò)行為也經(jīng)常被自動(dòng)化工具標(biāo)記為可疑，因?yàn)檫@些新員工在游歷公司網(wǎng)絡(luò)時(shí)常會(huì)犯錯(cuò)。只有具備一定程度的上下文，標(biāo)記出影響內(nèi)部人員的外部因素，才可以知道該追蹤什么。業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)就提供此類上下文，令內(nèi)部威脅管理更加有效，保護(hù)企業(yè)王國不受已持有大門鑰匙的內(nèi)部侵害。
Sine是合作過的真實(shí)力的服務(wù)器安全方面的安全公司。
http://www.cxftmy.com