2011年已經過去了將近一半,要說在這半年里面,IT屆最為轟動的事情有哪些,索尼的PSN用戶信息泄漏肯定榜上有名。此次索尼PSN在線被黑,受影響用戶多達7700萬人,涉及了全球的57個國家和地區。有報道認為這是有史以來被公開的最嚴重的信息泄漏時間。索尼因此可能會損失數百億美元,并將面臨眾多訴訟。隨之而來的花旗銀行、IMF、美國聯邦政府等政府部門也難逃厄運,紛紛被黑。而黑客攻擊這些網站的原因也很挑釁——看不慣政府的某些行為。暫且不說這些企業或政府機關的網絡安全措施是否齊全,以及帶來的損失有多巨大,這些事件最應該讓讀者警醒的是如何保護自己的數據信息。
對于一個員工來說,或許想象不到他的一個鼠標點擊動作就有可能為企業帶來巨大的損失。比如,發錯郵件、點擊了帶有木馬或后門的鏈接、下載了帶有惡意軟件的應用等,這些日常的網上動作都給企業機密數據的泄漏帶來了可能。另外,智能手機、平板電腦日漸流行,企業網一般都是讓這些設備暢通無阻的接入內部網絡,這也都是數據泄漏的可能途徑。
泄漏途徑多樣化
在十幾年前,一個企業面對的可能更多的是來自于網絡外部的共計,采用一個防火墻就可以起到良好的防護作用。但是,現在黑客已經不僅僅局限于侵入你的網絡內部,給你造成干擾,他們的目標是竊取極具價值的數據。另外,面臨著接入網絡的終端類型的不斷豐富,對于這種網絡接入設備的管理日趨復雜,企業如何管理這些終端也是以后面臨的難題之一。綜合起來看,企業用戶面臨的數據泄漏途徑其實主要體現在以下幾個方面。
第一種是來自黑客的主動攻擊。不同于傳統的黑客攻擊,現在的黑客選擇攻擊對象時,越來 越具有目標性。賽門鐵克中國區首席解決方案顧問林育民表示,目標性攻擊與傳統的攻擊手法最大的差別是它不再是一槍打亂鳥,而是針對個別企業去專門設計。深信服科技安全產品總監邱德文也表示,目前多數黑客以竊取數據和機密為目標,就如最近發生的索尼事件也屬于這種類別。
另外,社交網絡的盛行也是惡意攻擊侵入企業網絡的一個途徑。Check Point北亞洲區地區總監梁國賢表示:“現在,Web 2.0已經成為一個不可或缺的商業工具,用戶在Web上沖浪、分享信息、下載文件、聊天、更新博客或觀看視頻的時間平均占每個工作天的1/4。”根據《經濟學人》雜志的數據,最受歡迎的100個網站中有45%支持用戶生成內容,其中60%被惡意軟件感染。這種惡意軟件有可能會長期潛伏在網絡中,獲取到足夠的資料之后,才會真正去發動比較嚴重的攻擊,往往這種攻擊帶來的損失也是巨大的。
上述來自黑客或其他病毒的入侵行為一度為企業造成了很大的困擾,現在其發展的速度也是越來越快,但事實上,在辦公室里,還隱藏著另外一個數據安全的風險。BlueCoat中國區高級產品經理申強表示:“一種非常極端的方式就是企業員工惡意的偷竊,但這種情況占的比例是非常低的。”其實占據非常大比例的數據泄露方式是員工有意或者無意之中將機密信息發送出去了。
針對員工有意或無意的泄露數據的問題,受訪對象紛紛表示了自己的見解。梁國賢說:“Forrester Research曾指出,幾乎80%的數據丟失是無意造成的,它們主要是由員工疏忽或無意中違反了公司安全政策所致。例如,員工將機密文件誤發給和同事同名的其他人,或者使用基于網絡的P2P文件共享網站給商業伙伴發送大容量文件時,沒有仔細閱讀網站中‘用戶須知’等字樣,而導致上載文件后不知情地失去文件的擁有權和控制。”
針對員工泄露數據的問題,申強表示,員工有意的泄露數據時,一般都是不重視本公司的安全策略,認為是無關緊要的信息而發送給外部的人員。另外一種是則通過郵件或其他通信工具誤發出去。Check Point銷售總監張濤表示,除了這種通過郵件誤發出去和黑客的惡意偷竊之外,還有一部分比例是由于U盤、CD或者筆記本丟失造成隱秘數據丟失。這也是一個DLP解決方案需要考慮的范疇。
對比上述的數據泄漏方式,林育民用兩個數字來說明危害情況。由黑客發動的主動攻擊平均每次會造成26萬個信息泄漏;而因為員工有意或者無意的盜竊或丟失平均每次會造成6.7萬個身份信息的泄漏。雖然黑客入侵一般會造成大量的數據泄漏,但是對于企業來說,發生頻率較高的,更多是員工有意或無意的泄漏,其中無意的泄漏幾乎每天都會上演。正如梁國賢所說的那樣,幾乎80%以上的企業數據泄漏是無意中造成的,邱德文和申強也都表示,無意的泄漏占據了最大比例。這是不是意味著,企業對于員工的管理將會帶來解決數據泄露的新契機呢?
警示信息必不可少
針對黑客帶來的惡意攻擊,企業完全可以通過技術手段來阻止他們的惡意攻擊,但是對于員工帶來的有意或者無意的數據泄露,企業該如何防范呢?正如申強所說的那樣:“你可以不讓員工用U盤拷,不讓他進行打印,不讓他進行截屏,但你能阻止他用手機拍照嗎?”是的,通過技術手段是無法完全阻止員工的這種行為的。既然數據已經到達了員工的手上,就說明他對這些數據已經有了知情權,同時,企業也應該承擔數據泄露方面的風險。那就應該這樣任由風險存在了嗎?其實剛才已經說到,大部分的員工是無意泄漏了數據的,惡意偷竊的比例非常小。針對這種情況,對員工的教育與管理更加有效。
在試圖解決這類風險時,申強介紹了一個非常有趣的現象。一旦用戶有意或無意的要泄漏包含隱秘信息的數據時,如果有一個明顯的警示信息去提醒他,效果非常有效。如果只是通過技術手段去攔截包含隱秘信息的數據,據統計,用戶嘗試發送這些隱秘數據的次數是不會減少的。相反,他會認為是不是網絡不好?是不是發送的文件格式不對?然后繼續進行發送。如果,用戶發送此類數據時,公司在用技術手段進行攔截的同時,再給他一個警示說此類信息無法進行發送,或者你發送的內容屬于公司機密,這類數據發送的次數會下降很多。申強表示,這類解決方案是經過證明的非常有效的方法,屬于BlueCoat的最佳實踐方案。
這種現象表明對于員工的警示和教育必不可少,梁國賢也表示,一個使用的DLP方案應該在用戶發送可能導致數據丟失的郵件之前提醒他們。他說,安全策略不應該只是技術層面,對人員的教育和管理往往會起到事半功倍的效果。因為一個企業中,最難管理的往往是人員。
Web 2.0:一把雙刃劍
之所以將Web 2.0單獨拿出來說,是因為基于Web 2.0應用的火熱程度已經完全超越了安全措施的更新程度。企業正面臨日益增多、千奇百怪的新型互聯網威脅,例如惡意軟件、網絡釣魚、木馬程序和鍵盤記錄器。然而一個新趨勢是Web 2.0應用程序及移動設備中的富媒體功能,將會使得隱蔽強迫下載及混合攻擊增加。例如,社交網站上的嵌入視頻及其連接成為了黑客頻繁植入惡意軟件的目標。
Web 2.0已經成為了一個不可或缺的商業工具,用戶在Web上沖浪、分享信息、下載文件、聊天、更新博客或觀看視頻等,這些事件平均占據每天工作時間的四分之一。無疑,Web2.0帶來了巨大的便利,但是目前的許多Web應用都存有漏洞,但廠商卻卻沒有相關的防護措施。傳統的基于IP層的防火墻和URL過濾等工具在Web2.0的環境中顯得有點捉襟見肘,因此針對應用層的安全防護就顯得尤其重要。
以深信服為例,作為一直關注應用層安全的國內廠商,在近幾年取得了持續增長的業績。歸根結底,是因為用戶對于應用層防護的關注度越來越高。深信服的AC上網行為管理設備能夠對員工訪問不當網站造成的數據泄漏風險進行防護,它能夠對掛馬網站、惡意插件、危險腳本進行過濾,還能夠識別出由網頁、郵件、文件傳輸等端口發生的黑客行為等。
對癥下藥
對于員工帶來的惡意偷竊問題,雖然比例較低,但因為其帶來的損失往往也是巨大的,企業需要特別注意。申強表示,解決這類問題,需要對企業的數據進行嚴格的權限劃分,什么人能夠訪問什么數據必須具有嚴格的審計流程,并且要有相關的訪問記錄。針對各種存儲設備的加密技術是一個完整DLP方案的必不可少的部分。例如,國內專注于數據防泄漏的安全廠商虹安,就有專門針對筆記本電腦、移動設備、文檔、源代碼,以及U盤等的全面的解決方案,取得了國內大批用戶的信任。另外,Check Point的媒介加密和全磁盤加密技術,以及賽門鐵克的DLP解決方案,都可以防護針對移動存儲設備丟失帶來的數據泄漏風險。
而對于員工有意或者無意造成的數據泄漏,最有效的方式就是在用技術手段攔截包含隱秘信息的數據時,還要有一個明確的警示信息。同時,梁國賢也認為安全應該貫穿整個業務流程,首先要教育員工充分了解安全環境及企業的安全策略;第二要有好的技術解決方案來幫助員工參與安全進程,并不斷提醒他們避免失誤。基于此,Check Point提出了3D安全的概念,將政策、人員與執行力完美結合,提供全方位的安全防護。而作為實踐3D安全的R75方案,其中的DLP軟件刀片利用UserCheck技術能夠使用戶對事件進行實時糾正,并且對用戶進行關于數據防泄密政策的教育。
針對黑客發起的主動攻擊,例如給PC種下了后門或者其他惡意軟件等,單純的對員工進行管理和教育又被發現是沒有意義的,防范這種針對性的主動攻擊,必須先保證基礎的網絡安全設施。包括防火墻、IPS、IDS等。申強表示,在基礎網絡缺失的情況下,即使部署了DLP解決方案,防護效果也往往不理想。所以,企業必須首先保證由外而內的網絡安全,才能防止由內而外的數據泄漏風險。
由于黑客攻擊類型的不斷變種,傳統的被動防御已經不能滿足需求,因此賽門鐵克提出了從被動變主動的安全理念。林育民表示,賽門鐵克最近推出的Data Insight技術就是基于云端的安全防御,對發送的文件進行信譽評級,來決定是否對該文件進行阻擋。而這種解決方法通常是阻止原有的大量散播的惡意文件,對于目標性較強的惡意文件,賽門鐵克端點保護措施可以提供完整保護,防止針對性較強的攻擊。
針對上述的數據泄漏途徑,國內廠商也有獨特而先進的產品和解決方案。例如,溢信科技的IP-Guard,采用獨有的三重防護解決方案,結合了IP-Guard V+全向文檔加密技術與IP-guard原有文檔安全保護技術,構建成全新的信息防泄漏三重保護解決方案。它不僅為防止信息通過U盤、Email等泄露提供解決方法,更重要的是,它幫助企業打造“詳盡細致的操作審計、全面嚴格的操作授權管控、安全可靠的透明加密”三重安全防護體系,使得企業可以實現“事前防御—事中控制—事后審計”的完整的信息防泄漏流程。
綜合上述種種針對數據泄漏的技術和解決方案,可以發現,對于一個企業來說,在構建數據泄漏防護系統的時候,不單單是要采用技術手段,同時還要通過安全策略來教育員工。同時,一個數據泄漏防護系統是在企業構建了完善的安全基礎設施和完善的內容安全系統之后,才能夠發揮其良好的效果。但是,目前國內的用戶對于數據泄漏防護還沒有找到最正確的路子,用戶往往還在關注于阻斷每個數據泄露的可能渠道,而忽視了對于安全管理策略的完善。數據泄漏防護相對于其他安全技術來說還是一個比較新的技術,而隨著近期全球關于數據泄漏的大事件的發生,用戶對于數據泄漏防護應該會有一個全新的認識了吧。
編看編想 保護數據,用戶也可做主
在當今的互聯網時代,如果完全依靠技術手段來保護自己的隱秘信息是不太現實的。作為個人用戶,也完全可以大幅度避免自己的隱秘信息被泄漏的風險。對于個人用戶來說,第一點要做到對所有來自網絡的信息都保持懷疑的態度,不管是來自企業的、社交網站的或者其他好友的;第二點,要了解相關網站的隱私保護政策,設定好相關的隱私設置,確保自己的信息不是所有人都可以瀏覽可大幅度降低數據泄漏的風險;第三點,填寫注冊信息時,需要輸入自己的隱秘資料時,一定要三思而后行;最后一點,在日常生活中,填寫某些問卷時,一定不要受到贈送禮品的誘惑,要注意保護自己的Email地址。
隱私數據保護不能通過單純的技術手段來解決,還包括管理、法律等方面的問題。要記住:永遠沒有百分之百的安全,大家應時刻保持警惕。
京公網安備 11010502049343號