■馬漢
防止數(shù)據(jù)泄露的6個(gè)關(guān)鍵
■馬漢
黑客攻擊仿佛總是快人一步,我們能做的,只能是走在黑客的前面,將黑客攻擊拒之門外。那么如何提防這些不速之客的造訪?作為企業(yè)的首席安全官或首席信息安全官們,又該做些什么來(lái)防止數(shù)據(jù)泄露呢?
惡意軟件是無(wú)法被阻止的,因?yàn)閻阂廛浖难葑兎浅Q杆?。?jù)熊貓實(shí)驗(yàn)室報(bào)告,2013年共發(fā)現(xiàn)3000萬(wàn)個(gè)新的惡意軟件威脅,平均每天就有2000個(gè)之多。另?yè)?jù)火眼公司的報(bào)告,82%的惡意軟件在激活后一小時(shí)就告消失。所以安全專家們必須要接受網(wǎng)絡(luò)終將被攻破的事實(shí),專注于如何消除已經(jīng)侵入的黑客,別到時(shí)候悔之晚矣。
網(wǎng)絡(luò)犯罪已轉(zhuǎn)向通過(guò)獲取認(rèn)證和模擬用戶的方法竊取大量數(shù)據(jù),這種技術(shù)允許他們長(zhǎng)駐內(nèi)存。據(jù)火眼旗下的公司Mandiant的調(diào)查,每一次的數(shù)據(jù)泄露都100%地使用了認(rèn)證獲取技術(shù)。最近,威瑞森(Verizon)2104數(shù)據(jù)泄露報(bào)告稱,2013年76%的網(wǎng)絡(luò)入侵都包含認(rèn)證獲取。讓系統(tǒng)學(xué)習(xí)員工的行為方式,隨著時(shí)間的推移,系統(tǒng)就可以理解正常的認(rèn)證員工活動(dòng),辯認(rèn)非正?;顒?dòng)。這也是安全團(tuán)隊(duì)識(shí)別隱形攻擊的唯一方法。
第一眼看到一個(gè)來(lái)自倫敦通過(guò)VPN登錄進(jìn)來(lái)的銷售副總裁仿佛沒什么不對(duì)勁,可當(dāng)你圍繞整個(gè)用戶進(jìn)程仔細(xì)檢查它的特點(diǎn)及一系列操作后或許就不是那么回事了。要更好的斷定與該進(jìn)程關(guān)聯(lián)的風(fēng)險(xiǎn),從安全解決方案的角度應(yīng)該圍繞該進(jìn)程進(jìn)行發(fā)生時(shí)間和活動(dòng)情況分析,比如,從該位置登錄的頻次,是否有銷售部門其他成員也表現(xiàn)出類似行為等。通過(guò)量化每個(gè)潛在可疑活動(dòng)的附加風(fēng)險(xiǎn),安全分析人士將能更好地識(shí)別潛在數(shù)據(jù)泄露的真正風(fēng)險(xiǎn),挖掘用戶行為智能。
假陽(yáng)性安全警報(bào)的概念是隨著首個(gè)入侵檢測(cè)系統(tǒng)進(jìn)入市場(chǎng)的。因?yàn)閷?duì)這些工具固有的、有時(shí)也是合理的懷疑,導(dǎo)致安全團(tuán)隊(duì)有時(shí)會(huì)反應(yīng)遲鈍。這些工具中的安全信息和事件管理系統(tǒng)(SIEM)發(fā)出大量且缺乏足夠優(yōu)先級(jí)的的警報(bào),讓人很難從這種可能被視為“噪音”的警報(bào)中發(fā)現(xiàn)真正異常的安全事件。因此類似2013年塔吉特?cái)?shù)據(jù)泄露這樣的事件,將毫無(wú)疑問地會(huì)再次發(fā)生。安全團(tuán)隊(duì)需要借助優(yōu)先級(jí),才可以花時(shí)間分析出對(duì)公司最寶貴數(shù)據(jù)存在潛在風(fēng)險(xiǎn)的警報(bào)。
據(jù)波耐蒙研究所和賽門鐵克2013年發(fā)布的一份報(bào)告顯示,2012年因人為錯(cuò)誤導(dǎo)致的數(shù)據(jù)泄露超過(guò)三分之二。自動(dòng)安全監(jiān)測(cè)系統(tǒng)可以幫助企業(yè)檢測(cè)他們的組織是否缺乏系統(tǒng)控制和數(shù)據(jù)治理。
如果缺乏意識(shí),任何一名員工都可能給公司的數(shù)據(jù)安全帶來(lái)風(fēng)險(xiǎn)。雖然系統(tǒng)被黑是不可避免的,但公司員工仍然應(yīng)該知道,釣魚計(jì)劃攻擊是什么樣子,以及它們是如何偽裝成可能的各種樣子,讓人將用戶名和密碼交給潛在攻擊者的。這將有助于消除攻擊的頻次,加大攻擊者竊取用戶憑證的難度,防止大規(guī)模的數(shù)據(jù)泄露。
計(jì)算機(jī)與網(wǎng)絡(luò)2014年23期