在2014年安全泄露事故依然接二連三地發(fā)生。盡管多年來安全泄露和分布式拒絕服務(wù)(DDoS)攻擊占據(jù)頭條新聞,安全專家也一再告誡企業(yè)(和個人)需要更好地保護(hù)敏感數(shù)據(jù),但很多企業(yè)仍然沒有準(zhǔn)備好或無法正確地抵御各種安全威脅。
事實(shí)上,根據(jù)Trustwave最新發(fā)布的《2014年度風(fēng)險狀態(tài)報告》顯示,大多數(shù)企業(yè)沒有或者只部署了部分系統(tǒng)用于控制和追蹤敏感數(shù)據(jù)。該報告采訪了476名IT專業(yè)人士對安全問題的看法。
那么,企業(yè)應(yīng)該怎樣更好地保護(hù)自己及其客戶的敏感數(shù)據(jù)免受安全威脅呢?對此,我們詢問了幾十位安全專家和IT專家來尋找答案。下面是安全泄露事故6個最有可能的來源或者原因,以及企業(yè)應(yīng)該怎樣做來抵御這些風(fēng)險。
風(fēng)險No. 1:心懷不滿的員工
“內(nèi)部攻擊是企業(yè)數(shù)據(jù)和系統(tǒng)面對的最大威脅之一,”Green House Data公司首席技術(shù)官Cortney Thompson表示,“心懷不軌的員工可能造成嚴(yán)重破壞,特別是IT團(tuán)隊(duì)的成員,他們了解并可以訪問網(wǎng)絡(luò)、數(shù)據(jù)中心及管理員賬戶。”據(jù)傳言稱,索尼遭受的攻擊不是源自朝鮮,而其實(shí)是內(nèi)部攻擊。
解決辦法: CyberArk公司執(zhí)行副總裁Adam Bosnian表示:“緩解特權(quán)賬戶利用風(fēng)險的第一步是發(fā)現(xiàn)所有特權(quán)賬戶和登錄憑證,并立即終止那些不再使用或涉及已離職員工的賬戶。”
“下一步是密切監(jiān)測、控制和管理特權(quán)登錄憑證以防止被利用。最后,企業(yè)應(yīng)該部署必要的協(xié)議和基礎(chǔ)設(shè)施來跟蹤、日志記錄特權(quán)賬戶活動,以及創(chuàng)建警報,以在攻擊周期的早期階段快速應(yīng)對惡意活動和減小潛在的損害。”
風(fēng)險No. 2:粗心大意或不知情的員工
SafeLogic公司首席執(zhí)行該Ray Potter表示:“粗心大意的員工將自己未加密的iPhone遺忘在出租車上,這與泄露信息給競爭對手的心懷不滿的員工一樣危險。”同樣地,沒有學(xué)習(xí)過安全最佳做法的員工,他們使用低強(qiáng)度密碼訪問未經(jīng)授權(quán)的網(wǎng)站,和/或點(diǎn)擊可疑電子郵件中的鏈接或打開電子郵件附件,這也會給企業(yè)系統(tǒng)和數(shù)據(jù)帶來巨大的安全威脅。
解決辦法: “對員工進(jìn)行培訓(xùn),讓他們學(xué)習(xí)使用安全最佳做法,并為他們提供持續(xù)的支持,”RoboForm公司市場營銷副總裁Bill Carey表示,“有些員工可能不知道在網(wǎng)上如何保護(hù)自己,這可能讓企業(yè)數(shù)據(jù)面臨風(fēng)險。因此,企業(yè)應(yīng)該提供培訓(xùn)課程,幫助員工學(xué)習(xí)如何管理密碼以及避免網(wǎng)絡(luò)釣魚和鍵盤記錄等攻擊。并且,提供持續(xù)的支持以確保員工擁有他們所需要的資源。”
此外,確保員工在所有設(shè)備使用高強(qiáng)度密碼。密碼是第一道防線,所以要確保員工使用包含大寫和小寫字母、數(shù)字和符號的密碼。
同樣重要的是,在每個注冊的網(wǎng)站使用單獨(dú)的密碼,并每隔30到60天更改密碼。密碼管理系統(tǒng)可以自動化這個過程,而不需要員工記住多個密碼。
加密也是必不可少的。
“只要你已經(jīng)部署了經(jīng)驗(yàn)證的加密作為安全戰(zhàn)略的一部分,就還有希望,”Potter繼續(xù)說道,“即使員工沒有部署個人防護(hù)措施來鎖定其手機(jī),IT部門可以撤銷用于解密企業(yè)數(shù)據(jù)的密鑰,從而進(jìn)行選擇性的數(shù)據(jù)擦除。”
BeyondTrust公司產(chǎn)品經(jīng)理Rod Simmons表示,為了加強(qiáng)安全性,企業(yè)可以部署多因素身份驗(yàn)證,例如一次性密碼(OTP)、RFID、智能卡、指紋讀取器或視網(wǎng)膜掃描,以確認(rèn)用戶的身份。這可以幫助緩解密碼導(dǎo)致的數(shù)據(jù)泄露事故。
風(fēng)險No. 3:移動設(shè)備
“當(dāng)員工使用移動設(shè)備(特別是他們自己的設(shè)備)共享數(shù)據(jù)、訪問公司信息或沒有定期更改移動密碼時,非常容易發(fā)生數(shù)據(jù)盜竊,”BT Americas公司首席技術(shù)官兼安全部門副總裁Jason Cook表示,“根據(jù)BT的研究顯示,在過去12個月中,移動安全泄露事故影響著全球三分之二(68%)的企業(yè)。”
Yottaa公司產(chǎn)品營銷副總裁Ari Weil表示:“隨著越來越多的企業(yè)擁抱BYOD趨勢,員工設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò)(防火墻背后,包括通過VPN),當(dāng)應(yīng)用程序安裝惡意軟件或其他木馬軟件可訪問設(shè)備的網(wǎng)絡(luò)連接時,可能給企業(yè)帶來很大風(fēng)險。”
解決辦法: 確保你有一個全面的BYOD政策。“通過BYOD政策,員工可以更好地學(xué)習(xí)如何正確使用設(shè)備,而企業(yè)則可以更好地監(jiān)控電子郵件以及下載到企業(yè)或員工設(shè)備的文件,”賽門鐵克公司全球產(chǎn)品營銷高級主管Piero DePaoli表示,“有效監(jiān)控可以讓企業(yè)了解其移動數(shù)據(jù)丟失風(fēng)險,當(dāng)移動設(shè)備丟失或被盜時,讓他們可以快速找出風(fēng)險。”
同時,企業(yè)應(yīng)該部署移動安全解決方案來保護(hù)企業(yè)數(shù)據(jù)以及對企業(yè)系統(tǒng)的訪問,同時通過容器化來保障用戶的隱私權(quán)。通過分離用戶設(shè)備中的企業(yè)應(yīng)用程序和企業(yè)數(shù)據(jù),容器化可以確保企業(yè)內(nèi)容、登錄憑證和配置保持加密,在IT控制中,這增強(qiáng)了防御。通過權(quán)件oli
Code42公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Matthew Dornquast表示,你還可以通過混合云[注]來緩解BYOD風(fēng)險。“隨著未經(jīng)批準(zhǔn)的消費(fèi)者應(yīng)用程序和設(shè)備不斷進(jìn)入工作場所,IT應(yīng)該考慮使用混合和私有云[注]來緩解這種趨勢帶來的潛在風(fēng)險。這兩種方法都可以提供公共云的容量和彈性來管理海量設(shè)備和數(shù)據(jù),同時,還提供增強(qiáng)的安全性和隱私性(例如無論數(shù)據(jù)存儲在什么位置,加密密鑰都保存在內(nèi)部)來管理企業(yè)內(nèi)的應(yīng)用程序和設(shè)備。”
風(fēng)險No. 4:云應(yīng)用
解決辦法: “對于云威脅,最好防御是使用高強(qiáng)度加密技術(shù)在數(shù)據(jù)層面來加強(qiáng)保護(hù),例如256位AES加密,這被專家成為加密黃金標(biāo)準(zhǔn),同時,企業(yè)應(yīng)該專門保存密鑰以防止第三方訪問數(shù)據(jù),”CipherCloud公司創(chuàng)始人兼首席執(zhí)行官Pravin Kothari表示,“正如2014年的安全泄露事故表明,沒有很多公司在使用數(shù)據(jù)水平的云計算[注]加密來保護(hù)敏感信息。”
風(fēng)險No. 5:未安裝補(bǔ)丁或不可修補(bǔ)的設(shè)備
“這些是網(wǎng)絡(luò)設(shè)備,例如路由器、服務(wù)器和打印機(jī),它們在其操作中使用軟件或固件,然而,對于其中的漏洞,并沒有創(chuàng)建或發(fā)送修復(fù)補(bǔ)丁,或者其硬件不能對發(fā)現(xiàn)的漏洞進(jìn)行更新,”CyActive公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Shlomi Boutnaru表示,“這讓你的網(wǎng)絡(luò)中存在可利用的設(shè)備,等待攻擊者來利用它以訪問你的數(shù)據(jù)。”
數(shù)據(jù)泄露事故“候選者”:即將不受支持的Windows Server 2003。
在2015年7月14日,微軟將不再支持Windows Server 2003,這意味著企業(yè)將不再接收該軟件的補(bǔ)丁或安全更新。
目前超過1000萬臺物理Windows 2003服務(wù)器在使用中(+微信關(guān)注網(wǎng)絡(luò)世界),還有數(shù)百萬臺虛擬服務(wù)器,預(yù)計這些過時的服務(wù)器將會成為攻擊者滲透網(wǎng)絡(luò)的主要途徑。
解決辦法: 構(gòu)建補(bǔ)丁管理程序來確保這些設(shè)備和軟件總是保持最新狀態(tài)。
“第一步是部署漏洞管理技術(shù)來檢查你的網(wǎng)絡(luò),看看那些不是最新狀態(tài),”Force 3公司安全做法主管Greg Kushto表示,“然而,真正的關(guān)鍵是部署政策,如果某臺設(shè)備沒有在特定時間內(nèi)更新或修復(fù),它將被停用。”
為了避免Windows Server 2003帶來的問題,企業(yè)應(yīng)該發(fā)現(xiàn)所有Windows Server 2003實(shí)例;整理每臺服務(wù)器的所有軟件和功能;基于風(fēng)險和重要性對系統(tǒng)進(jìn)行優(yōu)先排序;創(chuàng)建遷移政策并執(zhí)行它。如果你無法執(zhí)行這些步驟,則可以聘請專業(yè)人士來幫助你。
風(fēng)險No. 6:第三方服務(wù)提供商
“隨著技術(shù)日益專業(yè)化和復(fù)雜化,企業(yè)越來越多地依賴于外包商和供應(yīng)商來支持及維護(hù)系統(tǒng),”Bomgar公司首席執(zhí)行官M(fèi)att Dircks表示,“例如,餐廳加盟商通常會外包PoS機(jī)的維護(hù)和管理工具到第三方服務(wù)提供商。”
然而,這些第三方通常使用遠(yuǎn)程訪問工具來連接到企業(yè)的網(wǎng)絡(luò),而并不總是遵循安全最佳做法。例如,他們會使用相同的默認(rèn)密碼來遠(yuǎn)程連接到所有的客戶。如果攻擊者猜出這個密碼,就可以立即訪問所有客戶的網(wǎng)絡(luò)。
實(shí)際上,2014年很多高知名度的數(shù)據(jù)泄露事故(例如家得寶、Target)是因?yàn)槌邪痰牡顷憫{證被盜。根據(jù)最新的一些報告,大部分?jǐn)?shù)據(jù)泄露事故(76%)是因?yàn)楣粽呃眠h(yuǎn)程供應(yīng)商訪問通道,即使是沒有惡意企圖的承包商都可能給你的系統(tǒng)帶來威脅或者讓你易受到攻擊。
“這種威脅在成倍增加,因?yàn)槠髽I(yè)在允許第三方訪問其網(wǎng)絡(luò)之前缺乏審查,”Dynamic Solutions International公司網(wǎng)絡(luò)安全專家Adam Roth表示,“潛在的數(shù)據(jù)泄露事故通常不會直接攻擊最有價值的服務(wù)器,而是從低層次的計算機(jī)開始,然后轉(zhuǎn)移到其他設(shè)備并獲得特權(quán)。”
企業(yè)做了相當(dāng)多的工作來確保關(guān)鍵服務(wù)器免受惡意軟件的威脅,但大多數(shù)企業(yè)并沒有保持這些系統(tǒng)與其他更易受攻擊系統(tǒng)的分隔。
解決辦法: 企業(yè)需要確保第三方遵循遠(yuǎn)程訪問安全最佳做法,例如強(qiáng)制執(zhí)行多因素身份驗(yàn)證、每個用戶使用唯一憑證、設(shè)置最小權(quán)限以及全面審計所有遠(yuǎn)程訪問活動。
特別是,企業(yè)應(yīng)該盡快禁用不再需要的第三方賬戶;監(jiān)控失敗的登陸嘗試;對潛在攻擊進(jìn)行紅色標(biāo)記。
應(yīng)對數(shù)據(jù)泄露事故的通用指南
RSA公司技術(shù)解決方案主管Rob Sadowsi稱:“大多數(shù)企業(yè)現(xiàn)在認(rèn)識到,數(shù)據(jù)泄露事故不是關(guān)于‘是否’的問題,而是‘什么時候’的問題。”為了最大限度地減小安全泄露事故的影響,企業(yè)應(yīng)該執(zhí)行風(fēng)險評估來確定敏感數(shù)據(jù)的位置以及部署了哪些控制和程序來保護(hù)這些數(shù)據(jù)。
然后,創(chuàng)建一個全面的事件響應(yīng)(和災(zāi)難恢復(fù)/業(yè)務(wù)連續(xù)性)計劃,確定參與的人員,從IT、法律部門、人力資源部門到高管,并對計劃進(jìn)行測試。
京公網(wǎng)安備 11010502049343號