在多次的系統(tǒng)數(shù)據(jù)泄漏導(dǎo)致其至少1億客戶的敏感數(shù)據(jù)暴露之后，SONY公司設(shè)立了一個(gè)首席信息安全官職位，并正在實(shí)施額外的防火墻和其它安全保護(hù)措施。

該公司是一系列與知名度高的數(shù)據(jù)泄漏作斗爭(zhēng)的公司之一，數(shù)據(jù)泄漏在2011年的頭幾個(gè)月讓這些公司處境艱難。RSA是EMC公司的安全部門，它仍在調(diào)查一個(gè)可能已經(jīng)使其最珍貴的資產(chǎn)——知識(shí)產(chǎn)權(quán)暴露的數(shù)據(jù)泄漏。市場(chǎng)服務(wù)公司Epsilon Data Management，負(fù)責(zé)為包括RSA在內(nèi)的許多主要公司處理客戶郵箱地址和其它信息，它也經(jīng)歷了嚴(yán)重的系統(tǒng)數(shù)據(jù)泄漏。

Sony公司的高管們已為他們的安全過(guò)失道歉，并將為客戶提供免費(fèi)的信用監(jiān)控，這是跟蹤數(shù)據(jù)泄漏的一個(gè)標(biāo)準(zhǔn)措施。但是，安全專家表示，Sony的泄漏暴露出了太多問(wèn)題，包括公司無(wú)法將客戶的敏感支付數(shù)據(jù)與其系統(tǒng)的其它數(shù)據(jù)隔離。Sony的初始泄漏影響到了其PlayStation網(wǎng)絡(luò)的7700萬(wàn)用戶。而在一周之后，該公司透露，依賴于其在線娛樂(lè)部門的一個(gè)服務(wù)器也被暴露了，該服務(wù)器可以追溯到2007年的信用卡信息，此次事故可能會(huì)影響到另外的2400萬(wàn)人。同時(shí)，在日本的第三次系統(tǒng)數(shù)據(jù)泄漏會(huì)影響到超過(guò)幾百萬(wàn)的Sony客戶。

專家表示，最近的數(shù)據(jù)泄漏表明企業(yè)需要對(duì)數(shù)據(jù)安全進(jìn)行更好的管理。安全顧問(wèn)公司Holmquist Advisory的總裁Eric Holmquist說(shuō)道，很多時(shí)候，公司注重于基礎(chǔ)架構(gòu)和系統(tǒng)安全改善，但卻不能獲取存儲(chǔ)在遠(yuǎn)程系統(tǒng)上的數(shù)據(jù)清單。

“我已經(jīng)看到許多這樣的情況，人們可以證明所有的技術(shù)、所有的程序以及所有的政策，但當(dāng)你說(shuō)，‘太好了，數(shù)據(jù)清單在哪里呢？’然后你就會(huì)得到茫然凝視。”Holmquist說(shuō)，“經(jīng)常需要一個(gè)重大事件才能使人們把事情做得更好，這是很不幸的。”

Jon Gossels是咨詢公司SystemExperts的總裁和首席執(zhí)行官，他建議所有公司，無(wú)論大小，都拿自身與ISO 270002對(duì)照。該框架可以幫助公司對(duì)其安全政策進(jìn)行正式化，從而更緊密的管理他們的資產(chǎn)，并把操作管理、風(fēng)險(xiǎn)分析和訪問(wèn)控制連接起來(lái)。

“理解你的業(yè)務(wù)應(yīng)該以什么方式運(yùn)作以及它實(shí)際是怎么運(yùn)作的，并找出兩者間的差距。”Gossels說(shuō)道。

Gossels表示，Sony的數(shù)據(jù)泄漏與其它公司的泄漏存在相同之處。通常情況下，各公司不會(huì)運(yùn)行最新的軟件。即使它們運(yùn)行的是更新的軟件，一個(gè)配置錯(cuò)誤也可以引起缺陷，他說(shuō)道。據(jù)2011年的Verizon數(shù)據(jù)泄漏調(diào)查報(bào)告稱，幾乎所有被分析的數(shù)據(jù)泄漏都利用了配置缺陷或“系統(tǒng)/應(yīng)用程序的固有功能”。事實(shí)上，Verizon發(fā)現(xiàn)，在381件泄漏中只有五個(gè)被利用的漏洞歸咎于黑客。

參照RSA的數(shù)據(jù)泄漏事件，“我們發(fā)現(xiàn)，在當(dāng)前，即使是那些在安全方面很擅長(zhǎng)的公司也非常容易受到攻擊。”Gossels說(shuō)道，“現(xiàn)在，有組織犯罪猖獗，還出現(xiàn)了敵對(duì)的外國(guó)政府以及工業(yè)間諜等事件；攻擊者們正試圖做一些難以發(fā)現(xiàn)的事情。”

在很多情況下，各組織正在做更好的補(bǔ)丁工作，但是極少數(shù)工作是用來(lái)解決舊系統(tǒng)中的軟件漏洞問(wèn)題，Bill Curtis這樣說(shuō)道，他是IT軟件質(zhì)量協(xié)會(huì)的主管和合伙人。即使SQL注入、跨站點(diǎn)腳本以及緩沖區(qū)溢出等漏洞被找到并修補(bǔ)了，一個(gè)堅(jiān)定的黑客也會(huì)找到他的入侵方法，Curtis說(shuō)道。他認(rèn)為，公司需要對(duì)他們的系統(tǒng)執(zhí)行一個(gè)更徹底的代碼審查，同時(shí)保持一個(gè)更好的配置管理程序。

“一旦你將你的應(yīng)用程序暴露在網(wǎng)絡(luò)上，你就會(huì)與你可能不認(rèn)識(shí)的人存在各種難以預(yù)料的互動(dòng)，”Curtis說(shuō)，“一個(gè)支付系統(tǒng)不會(huì)希望被連接到一個(gè)用于游戲世界的系統(tǒng)。”