今年,我盡自己所能協(xié)助各大企業(yè)和組織處理了很多安全事件。就我個人的經(jīng)驗(yàn)來看,我所觀察到的東西跟2016年的情況幾乎沒有什么區(qū)別。其中,以下兩個因素會對安全事件產(chǎn)生重要影響:
1. 過度暴露高風(fēng)險(xiǎn)機(jī)密-這種因素是導(dǎo)致嚴(yán)重安全事件發(fā)生的主要原因,很多影響嚴(yán)重的事件都具備這種特征。
2. 受害用戶的可用日志-它既是幫助組織從攻擊事件中快速恢復(fù)的良藥,也是導(dǎo)致用戶重要憑證信息被盜的“罪魁禍?zhǔn)?rdquo;。
而在這篇文章中,我將給大家提供一些新的觀點(diǎn),并跟大家一起從2017年所發(fā)生的數(shù)據(jù)泄露事件中吸取經(jīng)驗(yàn)和教訓(xùn)。
優(yōu)秀的安全團(tuán)隊(duì)需要知道自己的“戰(zhàn)場”在哪里
對于“跨多個公司間安全團(tuán)隊(duì)協(xié)同合作”這個概念而言,今年絕對是一個重大突破和勝利。其中,最典型的案例就是OneLogin以及Cloudbleed的數(shù)據(jù)泄露事件。
擁有優(yōu)秀網(wǎng)絡(luò)安全團(tuán)隊(duì)的公司數(shù)量正在迅速增加,而且他們也逐漸能夠理解和區(qū)分各自客戶代表給他們反饋回來的各種不同的安全信息了。
雖然很多公司在遇到數(shù)據(jù)泄露等安全事件時,沒有辦法去適當(dāng)?shù)奶幚怼5芏喙緯x擇進(jìn)入“響應(yīng)模式”,然后跟其他團(tuán)隊(duì)分享事件信息,并討論如何緩解安全事件所帶來的影響(包括告訴客戶如何采取相應(yīng)措施來保護(hù)自己)。因此,更加緊密的信息共享讓這些團(tuán)隊(duì)能夠更加快速、有效和自信地處理安全事件了。
應(yīng)對方案
“出去走走,多交些朋友。”你可以多去各種社區(qū)逛逛,多跟競爭對手的安全團(tuán)隊(duì)交流,分享各類安全事件的處理過程,努力成為社區(qū)中一名優(yōu)秀的成員。
記者跟公司雇員之間的直接聯(lián)系越來越多
在我看來,各種告密以及內(nèi)幕泄露也成為了今年的一種趨勢。今年很多公司都發(fā)現(xiàn),越來越多的記者開始通過社交媒體平臺或者加密聊天應(yīng)用來跟企業(yè)雇員進(jìn)行頻繁的聯(lián)系,而這些記者往往會直接跟他們詢問一些非常“敏感”的信息,尤其是一些涉及到企業(yè)業(yè)務(wù)計(jì)劃和新產(chǎn)品的相關(guān)內(nèi)容。
這種情況跟我在前幾年見到的有些不同,因?yàn)槠髽I(yè)員工跟外部的這種“接觸”變得越來越頻繁,而且針對員工的垃圾郵件也越來越多,這將會大大增加員工泄露重要機(jī)密數(shù)據(jù)的可能性。
應(yīng)對方案
企業(yè)和組織應(yīng)該盡可能地限制這類“交流”的發(fā)生,并要求員工按照“無可奉告”政策來行事。如果不得已需要跟記者或媒體聯(lián)系的話,請一定要構(gòu)建一種可信的通信渠道,這樣做有兩個好處:首先,這樣可以從某種程度上降低數(shù)據(jù)泄露發(fā)生的可能性;其次,當(dāng)數(shù)據(jù)泄露發(fā)生的時候,你可以迅速知道數(shù)據(jù)的泄漏源。
短信跟身份認(rèn)證之間的那些事兒
目前,很多在線服務(wù)以及應(yīng)用程序都允許用戶通過短信來重置賬戶密碼。如果攻擊者知道了驗(yàn)證短信的內(nèi)容,那你就危險(xiǎn)了。
目前有多種方法可以幫助攻擊者獲取到目標(biāo)用戶的驗(yàn)證短信,而絕大多數(shù)方法都涉及到對通信運(yùn)營商進(jìn)行社會工程學(xué)技術(shù)。攻擊者可以將電話號碼轉(zhuǎn)移到其他運(yùn)營商,并攔截目標(biāo)短信。或者說,他們可以注冊同一運(yùn)營商旗下的SIM卡,然后實(shí)現(xiàn)短信攔截。而他們的這些攻擊技術(shù)同樣適用于基于Web的短信。
應(yīng)對方案
為了徹底解決這種安全問題,我們應(yīng)該想辦法用其他類型的認(rèn)證方式來替換掉基于手機(jī)短信的驗(yàn)證方式。除此之外,在企業(yè)和組織的日常安全培訓(xùn)中,我們也應(yīng)該培養(yǎng)員工對這方面的安全意識。
有時我們唯一的敵人就是我們自己開發(fā)的代碼
其實(shí),有很多安全事件都是企業(yè)或組織自身問題所導(dǎo)致的。這些事件可能是程序的代碼或者基礎(chǔ)設(shè)施的配置不當(dāng)所導(dǎo)致的,因此這里并不涉及到外部人員的惡意攻擊。這類事件并沒有什么神秘可言,而一切都可以通過相當(dāng)具體的調(diào)查任務(wù)來發(fā)現(xiàn)漏洞的成因。
在事件調(diào)查的過程中,通常需要法律顧問,通信團(tuán)隊(duì),甚至是某些特殊用戶的參與。除此之外,安全應(yīng)急團(tuán)隊(duì)還需要重新審查自己的開發(fā)細(xì)則以及合同條款,并弄清楚開發(fā)團(tuán)隊(duì)在開發(fā)過程中有哪些未盡的“職責(zé)”,并調(diào)查所有未授權(quán)的訪問嘗試。與此同時,安全工程師將需要進(jìn)行各種單元測試,并避免將來出現(xiàn)類似的安全問題。
應(yīng)對方案
每一個企業(yè)和組織都應(yīng)該根據(jù)自己的情況來設(shè)計(jì)出合適的安全應(yīng)急響應(yīng)方案以及取證分析方案,否則歷史很可能會重演。需要注意的是,如果不對自己的基礎(chǔ)設(shè)施(例如代碼和服務(wù)器等等)進(jìn)行定期技術(shù)檢測的話,你很可能會因?yàn)槠渲袧撛诘陌踩珕栴}而陷入困境。
總結(jié)
今年的情況其實(shí)跟去年沒多大區(qū)別,但這件事情本身就應(yīng)該是一次“教訓(xùn)”。既然去年已經(jīng)出現(xiàn)過類似的情況或者發(fā)生了類似的事情了,那為什么今年還會“歷史重演”呢?因此,我們應(yīng)該將注意力放在更加有效的風(fēng)險(xiǎn)管理方案身上。
如果我們更愿意和大家分享手中的信息和資源,我們將能夠構(gòu)建出更多的威脅模型,并將它們應(yīng)用到各類場景之中。
我之所以寫這篇文章,主要是因?yàn)槲野l(fā)現(xiàn)整個行業(yè)在處理安全風(fēng)險(xiǎn)的路上有些偏離方向了,因此我在2018年即將到來的時候,在這里跟大家探討一下未來的應(yīng)對策略。
京公網(wǎng)安備 11010502049343號