在2014年安全泄露事故依然接二连三地发生。尽管多年来安全泄露和分布式拒绝服务(DDoS)攻击占据头条新闻,安全专家也一再告诫企业(和个人)需要更好地保护敏感数据,但很多企业仍然没有准备好或无法正确地抵御各种安全威胁。
事实上,根据Trustwave最新发布的《2014年度风险状态报告》显示,大多数企业没有或者只部署了部分系统用于控制和追踪敏感数据。该报告采访了476名IT专业人士对安全问题的看法。
那么,企业应该怎样更好地保护自己及其客户的敏感数据免受安全威胁呢?对此,我们询问了几十位安全专家和IT专家来寻找答案。下面是安全泄露事故6个最有可能的来源或者原因,以及企业应该怎样做来抵御这些风险。
风险No. 1:心怀不满的员工
“内部攻击是企业数据和系统面对的最大威胁之一,”Green House Data公司首席技术官Cortney Thompson表示,“心怀不轨的员工可能造成严重破坏,特别是IT团队的成员,他们了解并可以访问网络、数据中心及管理员账户。”据传言称,索尼遭受的攻击不是源自朝鲜,而其实是内部攻击。
解决办法: CyberArk公司执行副总裁Adam Bosnian表示:“缓解特权账户利用风险的第一步是发现所有特权账户和登录凭证,并立即终止那些不再使用或涉及已离职员工的账户。”
“下一步是密切监测、控制和管理特权登录凭证以防止被利用。最后,企业应该部署必要的协议和基础设施来跟踪、日志记录特权账户活动,以及创建警报,以在攻击周期的早期阶段快速应对恶意活动和减小潜在的损害。”
风险No. 2:粗心大意或不知情的员工
SafeLogic公司首席执行该Ray Potter表示:“粗心大意的员工将自己未加密的iPhone遗忘在出租车上,这与泄露信息给竞争对手的心怀不满的员工一样危险。”同样地,没有学习过安全最佳做法的员工,他们使用低强度密码访问未经授权的网站,和/或点击可疑电子邮件中的链接或打开电子邮件附件,这也会给企业系统和数据带来巨大的安全威胁。
解决办法: “对员工进行培训,让他们学习使用安全最佳做法,并为他们提供持续的支持,”RoboForm公司市场营销副总裁Bill Carey表示,“有些员工可能不知道在网上如何保护自己,这可能让企业数据面临风险。因此,企业应该提供培训课程,帮助员工学习如何管理密码以及避免网络钓鱼和键盘记录等攻击。并且,提供持续的支持以确保员工拥有他们所需要的资源。”
此外,确保员工在所有设备使用高强度密码。密码是第一道防线,所以要确保员工使用包含大写和小写字母、数字和符号的密码。
同样重要的是,在每个注册的网站使用单独的密码,并每隔30到60天更改密码。密码管理系统可以自动化这个过程,而不需要员工记住多个密码。
加密也是必不可少的。
“只要你已经部署了经验证的加密作为安全战略的一部分,就还有希望,”Potter继续说道,“即使员工没有部署个人防护措施来锁定其手机,IT部门可以撤销用于解密企业数据的密钥,从而进行选择性的数据擦除。”
BeyondTrust公司产品经理Rod Simmons表示,为了加强安全性,企业可以部署多因素身份验证,例如一次性密码(OTP)、RFID、智能卡、指纹读取器或视网膜扫描,以确认用户的身份。这可以帮助缓解密码导致的数据泄露事故。
风险No. 3:移动设备
“当员工使用移动设备(特别是他们自己的设备)共享数据、访问公司信息或没有定期更改移动密码时,非常容易发生数据盗窃,”BT Americas公司首席技术官兼安全部门副总裁Jason Cook表示,“根据BT的研究显示,在过去12个月中,移动安全泄露事故影响着全球三分之二(68%)的企业。”
Yottaa公司产品营销副总裁Ari Weil表示:“随着越来越多的企业拥抱BYOD趋势,员工设备进入企业网络(防火墙背后,包括通过VPN),当应用程序安装恶意软件或其他木马软件可访问设备的网络连接时,可能给企业带来很大风险。”
解决办法: 确保你有一个全面的BYOD政策。“通过BYOD政策,员工可以更好地学习如何正确使用设备,而企业则可以更好地监控电子邮件以及下载到企业或员工设备的文件,”赛门铁克公司全球产品营销高级主管Piero DePaoli表示,“有效监控可以让企业了解其移动数据丢失风险,当移动设备丢失或被盗时,让他们可以快速找出风险。”
同时,企业应该部署移动安全解决方案来保护企业数据以及对企业系统的访问,同时通过容器化来保障用户的隐私权。通过分离用户设备中的企业应用程序和企业数据,容器化可以确保企业内容、登录凭证和配置保持加密,在IT控制中,这增强了防御。通过权件oli
Code42公司首席执行官兼联合创始人Matthew Dornquast表示,你还可以通过混合云[注]来缓解BYOD风险。“随着未经批准的消费者应用程序和设备不断进入工作场所,IT应该考虑使用混合和私有云[注]来缓解这种趋势带来的潜在风险。这两种方法都可以提供公共云的容量和弹性来管理海量设备和数据,同时,还提供增强的安全性和隐私性(例如无论数据存储在什么位置,加密密钥都保存在内部)来管理企业内的应用程序和设备。”
风险No. 4:云应用
解决办法: “对于云威胁,最好防御是使用高强度加密技术在数据层面来加强保护,例如256位AES加密,这被专家成为加密黄金标准,同时,企业应该专门保存密钥以防止第三方访问数据,”CipherCloud公司创始人兼首席执行官Pravin Kothari表示,“正如2014年的安全泄露事故表明,没有很多公司在使用数据水平的云计算[注]加密来保护敏感信息。”
风险No. 5:未安装补丁或不可修补的设备
“这些是网络设备,例如路由器、服务器和打印机,它们在其操作中使用软件或固件,然而,对于其中的漏洞,并没有创建或发送修复补丁,或者其硬件不能对发现的漏洞进行更新,”CyActive公司联合创始人兼首席技术官Shlomi Boutnaru表示,“这让你的网络中存在可利用的设备,等待攻击者来利用它以访问你的数据。”
数据泄露事故“候选者”:即将不受支持的Windows Server 2003。
在2015年7月14日,微软将不再支持Windows Server 2003,这意味着企业将不再接收该软件的补丁或安全更新。
目前超过1000万台物理Windows 2003服务器在使用中(+微信关注网络世界),还有数百万台虚拟服务器,预计这些过时的服务器将会成为攻击者渗透网络的主要途径。
解决办法: 构建补丁管理程序来确保这些设备和软件总是保持最新状态。
“第一步是部署漏洞管理技术来检查你的网络,看看那些不是最新状态,”Force 3公司安全做法主管Greg Kushto表示,“然而,真正的关键是部署政策,如果某台设备没有在特定时间内更新或修复,它将被停用。”
为了避免Windows Server 2003带来的问题,企业应该发现所有Windows Server 2003实例;整理每台服务器的所有软件和功能;基于风险和重要性对系统进行优先排序;创建迁移政策并执行它。如果你无法执行这些步骤,则可以聘请专业人士来帮助你。
风险No. 6:第三方服务提供商
“随着技术日益专业化和复杂化,企业越来越多地依赖于外包商和供应商来支持及维护系统,”Bomgar公司首席执行官Matt Dircks表示,“例如,餐厅加盟商通常会外包PoS机的维护和管理工具到第三方服务提供商。”
然而,这些第三方通常使用远程访问工具来连接到企业的网络,而并不总是遵循安全最佳做法。例如,他们会使用相同的默认密码来远程连接到所有的客户。如果攻击者猜出这个密码,就可以立即访问所有客户的网络。
实际上,2014年很多高知名度的数据泄露事故(例如家得宝、Target)是因为承包商的登陆凭证被盗。根据最新的一些报告,大部分数据泄露事故(76%)是因为攻击者利用远程供应商访问通道,即使是没有恶意企图的承包商都可能给你的系统带来威胁或者让你易受到攻击。
“这种威胁在成倍增加,因为企业在允许第三方访问其网络之前缺乏审查,”Dynamic Solutions International公司网络安全专家Adam Roth表示,“潜在的数据泄露事故通常不会直接攻击最有价值的服务器,而是从低层次的计算机开始,然后转移到其他设备并获得特权。”
企业做了相当多的工作来确保关键服务器免受恶意软件的威胁,但大多数企业并没有保持这些系统与其他更易受攻击系统的分隔。
解决办法: 企业需要确保第三方遵循远程访问安全最佳做法,例如强制执行多因素身份验证、每个用户使用唯一凭证、设置最小权限以及全面审计所有远程访问活动。
特别是,企业应该尽快禁用不再需要的第三方账户;监控失败的登陆尝试;对潜在攻击进行红色标记。
应对数据泄露事故的通用指南
RSA公司技术解决方案主管Rob Sadowsi称:“大多数企业现在认识到,数据泄露事故不是关于‘是否’的问题,而是‘什么时候’的问题。”为了最大限度地减小安全泄露事故的影响,企业应该执行风险评估来确定敏感数据的位置以及部署了哪些控制和程序来保护这些数据。
然后,创建一个全面的事件响应(和灾难恢复/业务连续性)计划,确定参与的人员,从IT、法律部门、人力资源部门到高管,并对计划进行测试。
作者:佚名
来源:51CTO