防范數(shù)據(jù)泄露的經(jīng)驗(yàn)與辦法

■田野

防范數(shù)據(jù)泄露的經(jīng)驗(yàn)與辦法

■田野

美國(guó)人事管理局（OPM）、專業(yè)美容用品公司Sally Beauty Supply、星巴克、健康保險(xiǎn)公司Anthem、成人交友中心和賓夕法尼亞州立大學(xué)發(fā)生的數(shù)據(jù)外泄事件在規(guī)模和影響上都不盡相同，但是這些事件都在安全漏洞方面為我們敲響了警鐘，同時(shí)也為我們總結(jié)了富貴的經(jīng)驗(yàn)，需要我們采取更多保護(hù)措施以防范黑客。

當(dāng)數(shù)據(jù)被竊后，發(fā)生數(shù)據(jù)泄露的公司就成為了人們關(guān)注的焦點(diǎn)。由于他們?cè)囍M(jìn)行損害控制，那些已經(jīng)成為了入侵受害者的用戶自然很想知道在未來(lái)的公共監(jiān)督中如何再次避免這種事件的發(fā)生。

STEALTHBits Technologies公司策略與研究主管Jonathan Sander稱：“這些數(shù)據(jù)泄露事件當(dāng)中的許多并沒(méi)有為我們帶來(lái)多少經(jīng)驗(yàn)，但是它們?yōu)槲覀兦庙懥司姟＿@些數(shù)據(jù)泄露事件中很少有什么新東西。大多數(shù)的事件泄露都很以往的一樣，即安全性太差。”

Sander指出“從公共關(guān)系角度看，安全性注定會(huì)在這場(chǎng)競(jìng)賽中輸?shù)簟](méi)有人會(huì)為你成功地阻止了數(shù)據(jù)泄露而向你道賀，所有的人只會(huì)對(duì)你的失敗而嚴(yán)加指責(zé)。”為了在指責(zé)當(dāng)中保護(hù)自己，一旦公司發(fā)生了數(shù)據(jù)泄露，他們會(huì)拿出免責(zé)協(xié)議，并掩蓋真相，封鎖消息。

我曾經(jīng)接觸了幾家在近期發(fā)生了數(shù)據(jù)泄露事件的公司，并很快就收到了這些公司的相同回復(fù)，即目前還沒(méi)有人可以向我談?wù)撨@些事件。這有點(diǎn)像一個(gè)黑暗的家庭秘密一樣，家庭中的所有成員都知道這件事，但是所有的成員都會(huì)為此保持沉默。

然而公司與家庭不同，他們需要保護(hù)公司的聲譽(yù)。為了自己的信譽(yù)，這些在近期發(fā)生數(shù)據(jù)泄露事件的公司當(dāng)中的部分公司開(kāi)始采取正確的應(yīng)對(duì)方法。賓夕法尼亞州立大學(xué)、Sally Beauty控股、成人交友中心和Anthem均發(fā)布了媒體新聞稿，列出了他們對(duì)攻擊的應(yīng)對(duì)舉措，包括聘請(qǐng)法律顧問(wèn)和第三方進(jìn)行鑒定。

Sander稱：“美國(guó)人事局?jǐn)?shù)據(jù)泄露事件在范圍和深度上證明了關(guān)于信息安全的所有疑慮。它們提醒我們?nèi)魏螘r(shí)候文件都有泄露的風(fēng)險(xiǎn)，我們必須要高度重視這種風(fēng)險(xiǎn)。”

星巴克也為我們敲響了警鐘，提醒我們終端用戶無(wú)法保護(hù)自己的密碼。“在星巴克事件當(dāng)中，黑客竊取了密碼和有關(guān)電子郵件。”如果人們?cè)诹奶炀W(wǎng)站中使用的密碼與他們的銀行卡密碼相同，那么他們的銀行賬戶就會(huì)很容易受到攻擊。Sander稱：“用戶對(duì)待數(shù)據(jù)安全非常隨意。他們需要承擔(dān)起相應(yīng)的責(zé)任。”

用戶端的人為錯(cuò)誤并不是不法分子攻擊網(wǎng)絡(luò)的唯一途徑，因此公司需要重視對(duì)防范、檢測(cè)和響應(yīng)計(jì)劃進(jìn)行風(fēng)險(xiǎn)評(píng)估。Sander稱：“目前還沒(méi)有辦法知道數(shù)據(jù)泄露的所有途徑，因?yàn)樾孤肚婪浅５亩唷！?/p>

WhiteHat Security的創(chuàng)始人Jeremiah Grossman談及這六起數(shù)據(jù)泄露事件時(shí)稱“目前我們還不知道所有的細(xì)節(jié)。但是我們知道這些數(shù)據(jù)泄露事件都是可以避免的。”公司不應(yīng)當(dāng)將這些數(shù)據(jù)泄露事件看作與己無(wú)關(guān)，而應(yīng)當(dāng)將這視為不法分子正變得越來(lái)越有經(jīng)驗(yàn)的一個(gè)警報(bào)。

這些事件給我們帶來(lái)的最寶貴經(jīng)驗(yàn)是要認(rèn)清風(fēng)險(xiǎn)分析的價(jià)值。為了構(gòu)建起最佳防御體系，公司需要知道漏洞在哪里。如果安全管理人員只有法規(guī)遵從性和規(guī)定列表，而沒(méi)有制定出一個(gè)策略，那么對(duì)工具和項(xiàng)目的投資都將無(wú)濟(jì)于事。

Grossman稱：“人事局對(duì)受到攻擊的系統(tǒng)毫不知情，甚至不知道這個(gè)系統(tǒng)的存在。風(fēng)險(xiǎn)管理通常只是發(fā)生在黑客攻擊之后。我們首先應(yīng)當(dāng)知道自己在防范什么，威脅是什么，然后再關(guān)注相關(guān)的產(chǎn)品。”

安全研究公司Tripwire的總監(jiān)Lamar Bailey稱，清楚自己正在保護(hù)什么這一點(diǎn)對(duì)于公司構(gòu)建更為出色的防御系統(tǒng)來(lái)說(shuō)非常關(guān)鍵。“我們需要了解所保護(hù)網(wǎng)絡(luò)的安全防護(hù)能力的下限。”Bailey稱：“產(chǎn)品和解決方案固然很好，但是它們并不是對(duì)安全性的全部投資。首先，我們必須要知道如何將它們與安全項(xiàng)目整合為一體。”

這些數(shù)據(jù)泄露事件也暴露了不法分子的險(xiǎn)惡用心。盡管星巴克和Sally Beauty Supply事件看起來(lái)是他們是不法分子攫取經(jīng)濟(jì)利益的受害者，但人事局、Anthem和賓夕法尼亞州立大學(xué)事件證明這些不法分子有著更為險(xiǎn)惡的動(dòng)機(jī)。

LogRhythm的首席信息安全官James Carder稱：“人事局存儲(chǔ)著大量的美國(guó)聯(lián)邦政府雇員身份信息。如果攻擊某個(gè)聯(lián)邦機(jī)構(gòu)（+本站微信networkworldweixin），那么你只能獲取那個(gè)的機(jī)構(gòu)信息。但是如果將目標(biāo)鎖定為人事局，那么你將獲取所有聯(lián)邦機(jī)構(gòu)的信息。”

Carder指出這些漏洞是深深地根植于信息技術(shù)當(dāng)中。其中包括訪問(wèn)控制漏洞和身份管理漏洞。“通過(guò)嚴(yán)格授權(quán)和訪問(wèn)控制（身份管理）的應(yīng)用與數(shù)據(jù)保護(hù)應(yīng)當(dāng)成為所有聯(lián)邦機(jī)構(gòu)的重點(diǎn)。身份管理非常重要，但是政府和大多數(shù)公司對(duì)此關(guān)注重并不高，然而它們卻可以欺騙目前絕大多數(shù)的安全控制措施。”

與此同時(shí)，Carder認(rèn)為從這些數(shù)據(jù)泄露事件中得到的最大教訓(xùn)是要消除人為的錯(cuò)誤。“目前云環(huán)境非常受到歡迎。要將應(yīng)用轉(zhuǎn)移至安全的基礎(chǔ)設(shè)施上，而不是試圖保護(hù)所有的東西。要消除人的因素。”Carder認(rèn)為谷歌的Beyond Care可以有效保護(hù)公司不受黑客的攻擊。

網(wǎng)站可靠性工程經(jīng)理Rory Ward和谷歌Google SRE虛擬化軟件技術(shù)文檔工程師Besty Beyer在他們的白皮書中稱：“周界已經(jīng)不再是企業(yè)的地理位置。在這個(gè)周界之內(nèi)，也不再是托管個(gè)人計(jì)算設(shè)備和企業(yè)應(yīng)用的安全之地了。”

理論上，通過(guò)徹底重新設(shè)計(jì)基礎(chǔ)設(shè)施以消除人為錯(cuò)誤是保護(hù)數(shù)據(jù)是最為理想的。但是實(shí)際上，只有當(dāng)一個(gè)系統(tǒng)被建立起來(lái)后我們才能夠檢測(cè)它們的價(jià)值。

Grossman稱，在持續(xù)尋找保護(hù)數(shù)據(jù)安全的辦法時(shí)，公司還需要清楚他們可以通過(guò)制定一些如蜜罐等“絆發(fā)線策略”來(lái)抵御攻擊，將損失降到最低。

Grossman認(rèn)為蜜罐功能效果可與防范劫匪在極短時(shí)間內(nèi)對(duì)銀行進(jìn)行搶劫的措施一樣。“這樣一來(lái)，我們不會(huì)損失所有的錢。”絆發(fā)線系統(tǒng)會(huì)警報(bào)網(wǎng)絡(luò)管理員有可疑行為入侵，并盡早對(duì)其進(jìn)行檢測(cè)，以阻止不法分子訪問(wèn)所有的東西。

最后一個(gè)教訓(xùn)也非常重要。那就是不要對(duì)發(fā)生了數(shù)據(jù)泄露事件感到羞恥。因?yàn)楫吘故澜缟蠜](méi)有打不開(kāi)的門。Bailey稱：“如果你遇到了攻擊，那么同樣的攻擊肯定還在多個(gè)地方繼續(xù)發(fā)生著。在不將特殊信息泄露給競(jìng)爭(zhēng)對(duì)手的情況下，我們應(yīng)當(dāng)彼此共享這些攻擊信息。”