我們應當從最近四次安全事故中吸取哪些經驗教訓
美國人事管理辦公室(簡稱OPM)主任Katherine Archuleta在用揉眼的方式舒緩壓力——這是她在數據違反監管與政府改革委員會進行的OPM計算機數據泄露聽證會上作證時的狀況,時間為2015年6月16日,地點在華盛頓國會山。
媒體與公眾終于開始意識到一個殘酷的現實,任何組織機構都處于遭受惡意攻擊的風險當中。通過對最近幾次高曝光率安全事故的分析,我們希望幫助大家成功防止自己所在的企業遭遇到同樣的打擊。
對于IT安全管理者而言,搶在攻擊者之前解決潛在風險絕非易事。惡意人士可資利用的伎倆、花招以及邪惡技術可謂層出不窮,看起來企業根本不可能成功應對一切安全威脅。網絡犯罪活動明顯處于上升趨勢,而CIO們則因此而背負著沉重的壓力。
最近高調曝光的四起網絡犯罪活動值得我們給予關注,其中包括侵入網絡、竊取數據以及利用社交工程手段欺騙企業員工。我們就這些狀況向多位安全專家征求了意見,例如此類事故是如何發生的、CIO們又該怎樣降低出現類似事故的可能性。提示:單純安裝新型防火墻并嚴格要求員工使用殺毒軟件還遠遠不夠。
1. OPM數據泄露事故
此次數據泄露之所以令人不安,是因為其內容涉及美國人力管理辦公室(簡稱OPM)針對聯邦政府員工作出的安全檢查與背景信息統計。根據最新調查結果,共有2150萬名政府雇員的個人記錄被惡意人士所竊取。相關報告已經證明,此次數據泄露的主要原因是由于OPM方面缺乏最基本的安全基礎設施部署舉措。根據數據安全專家Alan Kessler的分析以及事故公開聽證會上得出的結論,某位前分包商在背景調查過程中竊取了這些數據。
數據安全企業Vormetric公司CEO Kessler表示,OPM長久以來一直依賴于傳統系統,而且沒能及時在安全基礎設施方面進行投資。根據IBM公司安全事務副總裁Caleb Barlow的說法,CIO們應當從中學習到重要的經驗教訓,即避免在安全領域一味追求新興技術。某些CIO熱衷于采納創新成功或者最新技術方案,但卻忽視了安全保障工作的基本要素。“最為基本的安全需求,例如補丁安裝、監控使用者訪問權限、識別風險以及明確組織關鍵性數據的存儲位置等,應當擁有最高的實施優先級,”他指出。
企業級文件共享廠商Accellion公司CEO Yorgen Edholm則表示,OPM數據泄露事故給CIO們敲響了警鐘,這意味著攻擊者們所垂涎的絕不僅僅是銀行中的信用卡號碼或者其它財務信息。數據竊取活動已經開始將矛頭指向社保號碼、醫療記錄甚至是保存在數據庫當中的指紋信息。CIO們需要找到更多能夠對全部系統加以保護的方案,而不能繼續依賴于只以財務數據為保護對象的傳統機制。
2.圣路易紅雀隊向休士頓太空人隊發起攻擊
在這一剛剛發生的安全事故當中,某位雇員(或者多位雇員)竊取到了來自對手球隊的球員評估及個人狀態等敏感數據。其實這類某個組織機構著手攻擊其它同業機構(與相對模糊的境外網絡犯罪活動不同)的行為并不罕見。此次事故讓CIO們意識到,攻擊很有可能發生在自家蕭墻之內。
目前效力于VMware公司的知名創業者Matt Suiche指出,企業應當盡可能提高數據保護力度,以避免其受到員工、分包商乃至第三方合作伙伴的窺探。他同時表示,當下的攻擊活動可謂全方位來襲,因此單純利用防火墻或者殺毒軟件來抵御外部滲透已經遠遠不夠。最好的辦法是實施一套多因素安全方案,從而全面阻止網絡犯罪活動的發生。
“企業經常會任用來自競爭對手公司的員工,而這部分員工又往往習慣在新舊兩家公司內使用同樣的密碼內容——這很可能造成潛在安全風險,”安全廠商KnowBe4公司CEO Stu Sjouwerman指出。“密碼管理與創建高強度密碼已經成為當下的必要要求,但我們還應當部署其它更為強大的驗證機制,例如雙因素驗證以及/或者指紋及面部識別等生物驗證技術。”
“有時候,最大的安全風險并非由間諜機構、集團犯罪組織或者高水平黑客所造成,而完全出自前任員工乃至競爭對手,”Accellion公司的Edholm強調稱。他同時表示,企業應當保護系統免受流氓員工的侵擾,具體包括使用惟一且高復雜度密碼來管理員工訪問,持有并追蹤全部密鑰,同時以培訓方式幫助員工掌握并踐行最佳實踐。
3.借簡歷附件進行網絡釣魚
這種堪稱巧妙的攻擊手段可以融入許多變化,但其本質方式就是向某位雇員發送包含惡意內容的簡歷壓縮文件。員工在開啟該文件的同時,被觸發的惡意應用即會對當前設備的硬盤乃至各共享式網絡驅動器進行加密。黑客隨后會要求受害者支付數額不等的款項以移除惡意軟件并恢復各磁盤驅動器。就在不久之前,有攻擊者鎖定了新聞發布稿當中的財務信息……而后借此進行敲詐勒索。
此類案例當中最令人發指的就是去年澳大利亞某媒體新聞頻道遭黑客利用Cryptolocker入侵,對方要求媒體方面支付贖金以解鎖數據。在大多數情況下,支付的資金必須以無法追蹤的比特幣作為載體。
KnowBe4公司的Sjouwerman表示,這類欺詐活動的可怕之處在于其成功率相當高。在該公司組織的測試當中,某家銀行約有六成左右員工打開了郵件當中發來的簡歷附件。他強調稱,目前大部分攻擊活動都會使用虛構的女性求職者姓名。
IBM公司的Barlow指出,應對釣魚攻擊的終極手段就是幫助員工培養起良好的安全意識。新型攻擊方式總在不斷出現,而安全培訓應該將釣魚測試納入其中,幫助員工在高危情況下作出正確選擇(例如不要點擊可疑鏈接或者不要回復任何內容)。如果員工未能通過測試,那么相關企業需要組織有針對性的指導流程。
4. CEO轉賬欺詐活動
這最后一種安全隱患確實極具破壞性,因為它針對的是大型企業中的高管團隊。這類惡意活動基本可劃歸為社交工程:犯罪分子首先取得高管成員的電子郵箱訪問權限,例如通過暴力破解方式獲取密碼或者運行密碼生成器。他們會利用高管的賬戶要求財會部門進行資金轉移。之所以成功率極高,是因為財會部門會下意識地認為來自高層管理者的郵件不存在問題。
KnowBe4公司的Sjouwerman指出,國際雜志出版商Bonnier Group就曾經遭遇過此類攻擊活動,而且轉賬金額至少達到150萬美元。攻擊者利用前任CEO David Freygang的電子郵箱發出了一條緊急且需要保密的資金轉移要求。而就在最近,知名一夜情網站Ashley Madison也遇到了同類攻擊,但有所區別的是這次其要求獲取客戶的詳細個人信息。
根據IBM公司發布的《2015年第二季度X-Force威脅情報調查》,目前約有25%的網絡攻擊活動針對某一特定員工。這相當于直接繞過了各類傳統安全保障措施,例如加密機制、防火墻以及反惡意軟件。在IBM公司的Barlow看來,這甚至不能算是什么技術性攻擊,因為黑客需要做的可能僅僅是猜出企業中某位高管的賬戶密碼。
他強調稱,解決此類問題的最佳辦法就是進行協作。釣魚攻擊應當經過分類、歸檔與討論——類似于黑客們在Dark Web上商議計劃并分享信息的過程。“‘好人們’也需要同樣的協作平臺,并以此建立統一戰線共同抵御入侵,”他建議道。
京公網安備 11010502049343號