美国人事管理局(OPM)、专业美容用品公司Sally Beauty Supply、星巴克、健康保险公司Anthem、成人交友中心和宾夕法尼亚州立大学发生的数据外泄事件在规模和影响上都不尽相同,但是这些事件都在安全漏洞方面为我们敲响了警钟,同时也为我们总结了富贵的经验,需要我们采取更多保护措施以防范黑客。
当数据被窃后,发生数据泄露的公司就成为了人们关注的焦点。由于他们试着进行损害控制,那些已经成为了入侵受害者的用户自然很想知道在未来的公共监督中如何再次避免这种事件的发生。
STEALTHBits Technologies 公司策略与研究主管Jonathan Sander 称:“这些数据泄露事件当中的许多并没有为我们带来多少经验,但是它们为我们敲响了警钟。这些数据泄露事件中很少有什么新东西。大多数的事件泄露都很以往的一样,即安全性太差。”
Sander指出“从公共关系角度看,安全性注定会在这场竞赛中输掉。没有人会为你成功地阻止了数据泄露而向你道贺,所有的人只会对你的失败而严加指责。”为了在指责当中保护自己,一旦公司发生了数据泄露,他们会拿出免责协议,并掩盖真相,封锁消息。
我曾经接触了几家在近期发生了数据泄露事件的公司,并很快就收到了这些公司的相同回复,即目前还没有人可以向我谈论这些事件。这有点像一个黑暗的家庭秘密一样,家庭中的所有成员都知道这件事,但是所有的成员都会为此保持沉默。
然而公司与家庭不同,他们需要保护公司的声誉。为了自己的信誉,这些在近期发生数据泄露事件的公司当中的部分公司开始采取正确的应对方法。宾夕法尼亚州立大学、Sally Beauty 控股、成人交友中心和Anthem均发布了媒体新闻稿,列出了他们对攻击的应对举措,包括聘请法律顾问和第三方进行鉴定。
Sander称:“美国人事局数据泄露事件在范围和深度上证明了关于信息安全的所有疑虑。它们提醒我们任何时候文件都有泄露的风险,我们必须要高度重视这种风险。”
星巴克也为我们敲响了警钟,提醒我们终端用户无法保护自己的密码。“在星巴克事件当中,黑客窃取了密码和有关电子邮件。”如果人们在聊天网站中使用的密码与他们的银行卡密码相同,那么他们的银行账户就会很容易受到攻击。Sander 称:“用户对待数据安全非常随意。他们需要承担起相应的责任。”
用户端的人为错误并不是不法分子攻击网络的唯一途径,因此公司需要重视对防范、检测和响应计划进行风险评估。Sander称:“目前还没有办法知道数据泄露的所有途径,因为泄露渠道非常的多。”
WhiteHat Security 的创始人Jeremiah Grossman谈及这六起数据泄露事件时称“目前我们还不知道所有的细节。但是我们知道这些数据泄露事件都是可以避免的。”公司不应当将这些数据泄露事件看作与己无关,而应当将这视为不法分子正变得越来越有经验的一个警报。
这些事件给我们带来的最宝贵经验是要认清风险分析的价值。为了构建起最佳防御体系,公司需要知道漏洞在哪里。如果安全管理人员只有法规遵从性和规定列表,而没有制定出一个策略,那么对工具和项目的投资都将无济于事。
Grossman 称:“人事局对受到攻击的系统毫不知情,甚至不知道这个系统的存在。风险管理通常只是发生在黑客攻击之后。我们首先应当知道自己在防范什么,威胁是什么,然后再关注相关的产品。”
安全研究公司Tripwire的总监Lamar Bailey称,清楚自己正在保护什么这一点对于公司构建更为出色的防御系统来说非常关键。“我们需要了解所保护网络的安全防护能力的下限。”Bailey称:“产品和解决方案固然很好,但是它们并不是对安全性的全部投资。首先,我们必须要知道如何将它们与安全项目整合为一体。”
这些数据泄露事件也暴露了不法分子的险恶用心。尽管星巴克和Sally Beauty Supply事件看起来是他们是不法分子攫取经济利益的受害者,但人事局、Anthem和宾夕法尼亚州立大学事件证明这些不法分子有着更为险恶的动机。
LogRhythm 的首席信息安全官James Carder 称:“人事局存储着大量的美国联邦政府雇员身份信息。如果攻击某个联邦机构(+本站微信networkworldweixin),那么你只能获取那个的机构信息。但是如果将目标锁定为人事局,那么你将获取所有联邦机构的信息。”
Carder指出这些漏洞是深深地根植于信息技术当中。其中包括访问控制漏洞和身份管理漏洞。“通过严格授权和访问控制(身份管理)的应用与数据保护应当成为所有联邦机构的重点。身份管理非常重要,但是政府和大多数公司对此关注重并不高,然而它们却可以欺骗目前绝大多数的安全控制措施。”
与此同时,Carder认为从这些数据泄露事件中得到的最大教训是要消除人为的错误。“目前云环境非常受到欢迎。要将应用转移至安全的基础设施上,而不是试图保护所有的东西。要消除人的因素。” Carder认为谷歌的Beyond Care可以有效保护公司不受黑客的攻击。
网站可靠性工程经理Rory Ward和谷歌Google SRE虚拟化软件技术文档工程师Besty Beyer在他们的白皮书中称:“周界已经不再是企业的地理位置。在这个周界之内,也不再是托管个人计算设备和企业应用的安全之地了。”
理论上,通过彻底重新设计基础设施以消除人为错误是保护数据是最为理想的。但是实际上,只有当一个系统被建立起来后我们才能够检测它们的价值。
Grossman称,在持续寻找保护数据安全的办法时,公司还需要清楚他们可以通过制定一些如蜜罐等“绊发线策略”来抵御攻击,将损失降到最低。
Grossman认为蜜罐功能效果可与防范劫匪在极短时间内对银行进行抢劫的措施一样。“这样一来,我们不会损失所有的钱。”绊发线系统会警报网络管理员有可疑行为入侵,并尽早对其进行检测,以阻止不法分子访问所有的东西。
最后一个教训也非常重要。那就是不要对发生了数据泄露事件感到羞耻。因为毕竟世界上没有打不开的门。Bailey称:“如果你遇到了攻击,那么同样的攻击肯定还在多个地方继续发生着。在不将特殊信息泄露给竞争对手的情况下,我们应当彼此共享这些攻击信息。”
