怎樣才能最有效地盡量減小數(shù)據(jù)泄密事件帶來(lái)的負(fù)面影響？

數(shù)據(jù)泄密是公司企業(yè)不得不面臨的嚴(yán)峻現(xiàn)實(shí)。但是除了準(zhǔn)備好一項(xiàng)數(shù)據(jù)泄密響應(yīng)計(jì)劃外，IT部門(mén)怎樣才能最有效地預(yù)防和緩解數(shù)據(jù)泄密事件嗎？不妨從這里開(kāi)始：

1. 落實(shí)一項(xiàng)到位的信息安全計(jì)劃。

據(jù)身份竊取資源中心（Identity Theft Resource Center）最近所作的一項(xiàng)調(diào)查顯示，2011年的數(shù)據(jù)泄密事件中絕大多數(shù)是由黑客引起的；而在2012年的頭一個(gè)月，新的泄密事件似乎多半也是由黑客引起的。

2. 實(shí)施強(qiáng)密碼機(jī)制。

本月初早些時(shí)候，神出鬼沒(méi)的黑客團(tuán)伙TeaMp0isoN將一份清單上傳到了Pastebin網(wǎng)站，這份清單里面有大約80名T-Mobile雇員的用戶名、密碼、電子郵件地址、電話號(hào)碼和密碼。值得關(guān)注的是，許多T-Mobile員工的密碼只是簡(jiǎn)單的“112112”或“pass”——如果說(shuō)它們還算是真正的密碼的話。在發(fā)到Pastebin的帖子中，TeaMp0isoN毫不留情地指出密碼顯然缺乏多樣性。據(jù)說(shuō)該團(tuán)伙與國(guó)際黑客組織Anonymous共同策劃了近期一場(chǎng)名為羅賓漢行動(dòng)（Operation Robin Hood）的活動(dòng)，入侵眾多信用卡帳戶，將非法所得錢(qián)款捐給了需要的個(gè)人或組織?！翱匆豢催@些密碼吧，真的太失敗了。所有密碼都通過(guò)一名管理員，手動(dòng)發(fā)給了員工，而這名管理員使用一組同樣的密碼?！?/P>

3. 隱藏泄密事件，后果自負(fù)。

賽門(mén)鐵克本月初證實(shí)，本月早些時(shí)候黑客泄露諾頓軟件源代碼，確有其事。但是賽門(mén)鐵克對(duì)這起事件作了低調(diào)處理，聲稱來(lái)自其兩款舊產(chǎn)品：Endpoint Protection 11.0和Antivirus 10.2的代碼是由于第三方而被竊取的。換句話說(shuō)：這是舊代碼，沒(méi)什么看頭，大家不必理會(huì)。

據(jù)路透社報(bào)道，可是僅僅過(guò)了兩周后，賽門(mén)鐵克就坦白承認(rèn)：旗艦產(chǎn)品諾頓軟件的代碼早在2006年就被竊取了。這就加大了這種可能性：早在那時(shí)擁有諾頓源代碼的任何人都也許找到了方法，利用賽門(mén)鐵克的安全軟件來(lái)危及用戶的機(jī)器。

4. 慎重評(píng)估通知泄密事件的速度。

企業(yè)發(fā)現(xiàn)泄密事件后，必須處理好以下兩個(gè)方面的關(guān)系：一個(gè)是需要盡快收集大量信息，另一個(gè)是及時(shí)發(fā)布內(nèi)容明確的通告。Ted Kobus是美國(guó)貝克豪思律師事務(wù)所（Baker Hostetler）的隱私、安全和社交媒體團(tuán)隊(duì)全國(guó)負(fù)責(zé)人之一，他在博文中表示：“確保透明是與客戶和監(jiān)管部門(mén)保持暢通關(guān)系的關(guān)鍵；務(wù)必要確信你事先已明白泄密事件的影響范圍，然后再公布也不遲。”

5. 事先要料到數(shù)據(jù)可能會(huì)泄密。

為什么不為這種最糟糕的情況作好計(jì)劃：貴公司存儲(chǔ)的所有數(shù)據(jù)都泄密了。如果這樣，接下來(lái)會(huì)發(fā)生什么？怎樣才能最有效地預(yù)防這種情況？知名調(diào)研機(jī)構(gòu)加特納集團(tuán)的調(diào)研主任Lawrence Pingree在接受采訪時(shí)說(shuō)：“說(shuō)到安全，沒(méi)有什么靈丹妙藥；所以你需要為難免會(huì)發(fā)生的數(shù)據(jù)泄密作好計(jì)劃。泄密后如何應(yīng)對(duì)將至關(guān)重要，而不是僅僅通過(guò)法律賠償和信用監(jiān)控來(lái)彌補(bǔ)。大多數(shù)公司在這些數(shù)據(jù)泄密事件過(guò)后提供信用監(jiān)控服務(wù)，但是這些服務(wù)大多數(shù)只持續(xù)一兩年，誰(shuí)說(shuō)數(shù)據(jù)會(huì)在一兩年內(nèi)消失？”

6. 加密所有敏感數(shù)據(jù)。

如果泄密的數(shù)據(jù)之前經(jīng)過(guò)了加密，數(shù)據(jù)泄密通知法律準(zhǔn)許公司企業(yè)可以不必發(fā)布通告。因而，只要有可能，就要加密所有傳輸中的數(shù)據(jù)以及靜態(tài)數(shù)據(jù)。貝克豪思律師事務(wù)所的Kobus說(shuō)：“加密不僅僅是一項(xiàng)安全手段，還是客戶和監(jiān)管部門(mén)認(rèn)為應(yīng)該具備的手段。”

7. 讓你自己的數(shù)據(jù)過(guò)期作廢。

如果失竊的數(shù)據(jù)沒(méi)有失效日期，那么公司就要自行刪除自己的數(shù)據(jù)。去年黑客竊取了過(guò)時(shí)的客戶信息后，加拿大本田公司和索尼都遭了殃，因?yàn)檫@兩家公司都沒(méi)有及時(shí)刪除這些信息。豐田公司的泄密事件似乎致使該公司違反了加拿大的隱私法；該國(guó)隱私法要求公司刪除不再需要的任何個(gè)人信息。不過(guò)，大概所有公司都應(yīng)當(dāng)遵循這個(gè)做法。

8. 提防社會(huì)工程學(xué)會(huì)伎倆。

說(shuō)到竊取敏感數(shù)據(jù)的成本低、影響力大的花招，攻擊者在社會(huì)工程學(xué)攻擊這個(gè)方面已變得相當(dāng)老到。Kobus說(shuō)：“攻擊者想出了新花樣，利用社會(huì)工程學(xué)工具非法獲取個(gè)人信息。”因而，要不斷培訓(xùn)處理敏感信息的所有員工，教他們學(xué)會(huì)檢測(cè)和抵制欺騙性的電話和電子郵件，包括魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)（spear-phishing）攻擊。

9. 要求數(shù)據(jù)發(fā)現(xiàn)服務(wù)。

泄密的數(shù)據(jù)往往最后出現(xiàn)在從黑市信用卡詐騙網(wǎng)站到對(duì)等網(wǎng)絡(luò)的各個(gè)地方。雖然從理論上來(lái)說(shuō)泄密的數(shù)據(jù)可以清除，但前提是先得找到數(shù)據(jù)。因而，預(yù)計(jì)相關(guān)的商品化服務(wù)很快就會(huì)隨之而來(lái)。Pingree說(shuō)：“將來(lái)的策略就是……請(qǐng)服務(wù)商追查泄密的數(shù)據(jù)，并且讓企業(yè)客戶了解數(shù)據(jù)位于何處。”

他說(shuō)：“連谷歌也可能涉足這種技術(shù)。谷歌具有搜索功能，它只要開(kāi)始分析數(shù)據(jù)、檢索數(shù)據(jù)，就能夠比較主機(jī)數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)，然后將對(duì)等網(wǎng)絡(luò)添加到檢索對(duì)象中。”雖然目前市面上還沒(méi)有這類服務(wù)，但是由于層出不窮的數(shù)據(jù)泄密事件絲毫沒(méi)有停下來(lái)的跡象，預(yù)計(jì)不久會(huì)看到這類服務(wù)涌現(xiàn)出來(lái)。

原文鏈接： http://www.informationweek.com/news/security/attacks/232500394