在2014年安全泄露事故依然接二連三地發(fā)生。盡管多年來(lái)安全泄露和分布式拒絕服務(wù)(DDoS)攻擊占據(jù)頭條新聞，安全專家也一再告誡企業(yè)(和個(gè)人)需要更好地保護(hù)敏感數(shù)據(jù)，但很多企業(yè)仍然沒(méi)有準(zhǔn)備好或無(wú)法正確地抵御各種安全威脅。

事實(shí)上，根據(jù)Trustwave最新發(fā)布的《2014年度風(fēng)險(xiǎn)狀態(tài)報(bào)告》顯示，大多數(shù)企業(yè)沒(méi)有或者只部署了部分系統(tǒng)用于控制和追蹤敏感數(shù)據(jù)。該報(bào)告采訪了476名IT專業(yè)人士對(duì)安全問(wèn)題的看法。

那么，企業(yè)應(yīng)該怎樣更好地保護(hù)自己及其客戶的敏感數(shù)據(jù)免受安全威脅呢?對(duì)此，我們?cè)儐?wèn)了幾十位安全專家和IT專家來(lái)尋找答案。下面是安全泄露事故6個(gè)最有可能的來(lái)源或者原因，以及企業(yè)應(yīng)該怎樣做來(lái)抵御這些風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)No. 1：心懷不滿的員工

“內(nèi)部攻擊是企業(yè)數(shù)據(jù)和系統(tǒng)面對(duì)的最大威脅之一，”Green House Data公司首席技術(shù)官Cortney Thompson表示，“心懷不軌的員工可能造成嚴(yán)重破壞，特別是IT團(tuán)隊(duì)的成員，他們了解并可以訪問(wèn)網(wǎng)絡(luò)、數(shù)據(jù)中心及管理員賬戶。”據(jù)傳言稱，索尼遭受的攻擊不是源自朝鮮，而其實(shí)是內(nèi)部攻擊。

解決辦法： CyberArk公司執(zhí)行副總裁Adam Bosnian表示：“緩解特權(quán)賬戶利用風(fēng)險(xiǎn)的第一步是發(fā)現(xiàn)所有特權(quán)賬戶和登錄憑證，并立即終止那些不再使用或涉及已離職員工的賬戶。”

“下一步是密切監(jiān)測(cè)、控制和管理特權(quán)登錄憑證以防止被利用。最后，企業(yè)應(yīng)該部署必要的協(xié)議和基礎(chǔ)設(shè)施來(lái)跟蹤、日志記錄特權(quán)賬戶活動(dòng)，以及創(chuàng)建警報(bào)，以在攻擊周期的早期階段快速應(yīng)對(duì)惡意活動(dòng)和減小潛在的損害。”

風(fēng)險(xiǎn)No. 2：粗心大意或不知情的員工

SafeLogic公司首席執(zhí)行該Ray Potter表示：“粗心大意的員工將自己未加密的iPhone遺忘在出租車(chē)上，這與泄露信息給競(jìng)爭(zhēng)對(duì)手的心懷不滿的員工一樣危險(xiǎn)。”同樣地，沒(méi)有學(xué)習(xí)過(guò)安全最佳做法的員工，他們使用低強(qiáng)度密碼訪問(wèn)未經(jīng)授權(quán)的網(wǎng)站，和/或點(diǎn)擊可疑電子郵件中的鏈接或打開(kāi)電子郵件附件，這也會(huì)給企業(yè)系統(tǒng)和數(shù)據(jù)帶來(lái)巨大的安全威脅。

解決辦法： “對(duì)員工進(jìn)行培訓(xùn)，讓他們學(xué)習(xí)使用安全最佳做法，并為他們提供持續(xù)的支持，”RoboForm公司市場(chǎng)營(yíng)銷副總裁Bill Carey表示，“有些員工可能不知道在網(wǎng)上如何保護(hù)自己，這可能讓企業(yè)數(shù)據(jù)面臨風(fēng)險(xiǎn)。因此，企業(yè)應(yīng)該提供培訓(xùn)課程，幫助員工學(xué)習(xí)如何管理密碼以及避免網(wǎng)絡(luò)釣魚(yú)和鍵盤(pán)記錄等攻擊。并且，提供持續(xù)的支持以確保員工擁有他們所需要的資源。”

此外，確保員工在所有設(shè)備使用高強(qiáng)度密碼。密碼是第一道防線，所以要確保員工使用包含大寫(xiě)和小寫(xiě)字母、數(shù)字和符號(hào)的密碼。

同樣重要的是，在每個(gè)注冊(cè)的網(wǎng)站使用單獨(dú)的密碼，并每隔30到60天更改密碼。密碼管理系統(tǒng)可以自動(dòng)化這個(gè)過(guò)程，而不需要員工記住多個(gè)密碼。

加密也是必不可少的。

“只要你已經(jīng)部署了經(jīng)驗(yàn)證的加密作為安全戰(zhàn)略的一部分，就還有希望，”Potter繼續(xù)說(shuō)道，“即使員工沒(méi)有部署個(gè)人防護(hù)措施來(lái)鎖定其手機(jī)，IT部門(mén)可以撤銷用于解密企業(yè)數(shù)據(jù)的密鑰，從而進(jìn)行選擇性的數(shù)據(jù)擦除。”

BeyondTrust公司產(chǎn)品經(jīng)理Rod Simmons表示，為了加強(qiáng)安全性，企業(yè)可以部署多因素身份驗(yàn)證，例如一次性密碼(OTP)、RFID、智能卡、指紋讀取器或視網(wǎng)膜掃描，以確認(rèn)用戶的身份。這可以幫助緩解密碼導(dǎo)致的數(shù)據(jù)泄露事故。

風(fēng)險(xiǎn)No. 3：移動(dòng)設(shè)備

“當(dāng)員工使用移動(dòng)設(shè)備(特別是他們自己的設(shè)備)共享數(shù)據(jù)、訪問(wèn)公司信息或沒(méi)有定期更改移動(dòng)密碼時(shí)，非常容易發(fā)生數(shù)據(jù)盜竊，”BT Americas公司首席技術(shù)官兼安全部門(mén)副總裁Jason Cook表示，“根據(jù)BT的研究顯示，在過(guò)去12個(gè)月中，移動(dòng)安全泄露事故影響著全球三分之二(68%)的企業(yè)。”

Yottaa公司產(chǎn)品營(yíng)銷副總裁Ari Weil表示：“隨著越來(lái)越多的企業(yè)擁抱BYOD趨勢(shì)，員工設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò)(防火墻背后，包括通過(guò)VPN)，當(dāng)應(yīng)用程序安裝惡意軟件或其他木馬軟件可訪問(wèn)設(shè)備的網(wǎng)絡(luò)連接時(shí)，可能給企業(yè)帶來(lái)很大風(fēng)險(xiǎn)。”

解決辦法： 確保你有一個(gè)全面的BYOD政策。“通過(guò)BYOD政策，員工可以更好地學(xué)習(xí)如何正確使用設(shè)備，而企業(yè)則可以更好地監(jiān)控電子郵件以及下載到企業(yè)或員工設(shè)備的文件，”賽門(mén)鐵克公司全球產(chǎn)品營(yíng)銷高級(jí)主管Piero DePaoli表示，“有效監(jiān)控可以讓企業(yè)了解其移動(dòng)數(shù)據(jù)丟失風(fēng)險(xiǎn)，當(dāng)移動(dòng)設(shè)備丟失或被盜時(shí)，讓他們可以快速找出風(fēng)險(xiǎn)。”

同時(shí)，企業(yè)應(yīng)該部署移動(dòng)安全解決方案來(lái)保護(hù)企業(yè)數(shù)據(jù)以及對(duì)企業(yè)系統(tǒng)的訪問(wèn)，同時(shí)通過(guò)容器化來(lái)保障用戶的隱私權(quán)。通過(guò)分離用戶設(shè)備中的企業(yè)應(yīng)用程序和企業(yè)數(shù)據(jù)，容器化可以確保企業(yè)內(nèi)容、登錄憑證和配置保持加密，在IT控制中，這增強(qiáng)了防御。通過(guò)權(quán)件oli

Code42公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Matthew Dornquast表示，你還可以通過(guò)混合云[注]來(lái)緩解BYOD風(fēng)險(xiǎn)。“隨著未經(jīng)批準(zhǔn)的消費(fèi)者應(yīng)用程序和設(shè)備不斷進(jìn)入工作場(chǎng)所，IT應(yīng)該考慮使用混合和私有云[注]來(lái)緩解這種趨勢(shì)帶來(lái)的潛在風(fēng)險(xiǎn)。這兩種方法都可以提供公共云的容量和彈性來(lái)管理海量設(shè)備和數(shù)據(jù)，同時(shí)，還提供增強(qiáng)的安全性和隱私性(例如無(wú)論數(shù)據(jù)存儲(chǔ)在什么位置，加密密鑰都保存在內(nèi)部)來(lái)管理企業(yè)內(nèi)的應(yīng)用程序和設(shè)備。”

風(fēng)險(xiǎn)No. 4：云應(yīng)用

解決辦法： “對(duì)于云威脅，最好防御是使用高強(qiáng)度加密技術(shù)在數(shù)據(jù)層面來(lái)加強(qiáng)保護(hù)，例如256位AES加密，這被專家成為加密黃金標(biāo)準(zhǔn)，同時(shí)，企業(yè)應(yīng)該專門(mén)保存密鑰以防止第三方訪問(wèn)數(shù)據(jù)，”CipherCloud公司創(chuàng)始人兼首席執(zhí)行官Pravin Kothari表示，“正如2014年的安全泄露事故表明，沒(méi)有很多公司在使用數(shù)據(jù)水平的云計(jì)算[注]加密來(lái)保護(hù)敏感信息。”

風(fēng)險(xiǎn)No. 5：未安裝補(bǔ)丁或不可修補(bǔ)的設(shè)備

“這些是網(wǎng)絡(luò)設(shè)備，例如路由器、服務(wù)器和打印機(jī)，它們?cè)谄洳僮髦惺褂密浖蚬碳?，然而，?duì)于其中的漏洞，并沒(méi)有創(chuàng)建或發(fā)送修復(fù)補(bǔ)丁，或者其硬件不能對(duì)發(fā)現(xiàn)的漏洞進(jìn)行更新，”CyActive公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Shlomi Boutnaru表示，“這讓你的網(wǎng)絡(luò)中存在可利用的設(shè)備，等待攻擊者來(lái)利用它以訪問(wèn)你的數(shù)據(jù)。”

數(shù)據(jù)泄露事故“候選者”：即將不受支持的Windows Server 2003。

在2015年7月14日，微軟將不再支持Windows Server 2003，這意味著企業(yè)將不再接收該軟件的補(bǔ)丁或安全更新。

目前超過(guò)1000萬(wàn)臺(tái)物理Windows 2003服務(wù)器在使用中(+微信關(guān)注網(wǎng)絡(luò)世界)，還有數(shù)百萬(wàn)臺(tái)虛擬服務(wù)器，預(yù)計(jì)這些過(guò)時(shí)的服務(wù)器將會(huì)成為攻擊者滲透網(wǎng)絡(luò)的主要途徑。

解決辦法： 構(gòu)建補(bǔ)丁管理程序來(lái)確保這些設(shè)備和軟件總是保持最新?tīng)顟B(tài)。

“第一步是部署漏洞管理技術(shù)來(lái)檢查你的網(wǎng)絡(luò)，看看那些不是最新?tīng)顟B(tài)，”Force 3公司安全做法主管Greg Kushto表示，“然而，真正的關(guān)鍵是部署政策，如果某臺(tái)設(shè)備沒(méi)有在特定時(shí)間內(nèi)更新或修復(fù)，它將被停用。”

為了避免Windows Server 2003帶來(lái)的問(wèn)題，企業(yè)應(yīng)該發(fā)現(xiàn)所有Windows Server 2003實(shí)例;整理每臺(tái)服務(wù)器的所有軟件和功能;基于風(fēng)險(xiǎn)和重要性對(duì)系統(tǒng)進(jìn)行優(yōu)先排序;創(chuàng)建遷移政策并執(zhí)行它。如果你無(wú)法執(zhí)行這些步驟，則可以聘請(qǐng)專業(yè)人士來(lái)幫助你。

風(fēng)險(xiǎn)No. 6：第三方服務(wù)提供商

“隨著技術(shù)日益專業(yè)化和復(fù)雜化，企業(yè)越來(lái)越多地依賴于外包商和供應(yīng)商來(lái)支持及維護(hù)系統(tǒng)，”Bomgar公司首席執(zhí)行官M(fèi)att Dircks表示，“例如，餐廳加盟商通常會(huì)外包PoS機(jī)的維護(hù)和管理工具到第三方服務(wù)提供商。”

然而，這些第三方通常使用遠(yuǎn)程訪問(wèn)工具來(lái)連接到企業(yè)的網(wǎng)絡(luò)，而并不總是遵循安全最佳做法。例如，他們會(huì)使用相同的默認(rèn)密碼來(lái)遠(yuǎn)程連接到所有的客戶。如果攻擊者猜出這個(gè)密碼，就可以立即訪問(wèn)所有客戶的網(wǎng)絡(luò)。

實(shí)際上，2014年很多高知名度的數(shù)據(jù)泄露事故(例如家得寶、Target)是因?yàn)槌邪痰牡顷憫{證被盜。根據(jù)最新的一些報(bào)告，大部分?jǐn)?shù)據(jù)泄露事故(76%)是因?yàn)楣粽呃眠h(yuǎn)程供應(yīng)商訪問(wèn)通道，即使是沒(méi)有惡意企圖的承包商都可能給你的系統(tǒng)帶來(lái)威脅或者讓你易受到攻擊。

“這種威脅在成倍增加，因?yàn)槠髽I(yè)在允許第三方訪問(wèn)其網(wǎng)絡(luò)之前缺乏審查，”Dynamic Solutions International公司網(wǎng)絡(luò)安全專家Adam Roth表示，“潛在的數(shù)據(jù)泄露事故通常不會(huì)直接攻擊最有價(jià)值的服務(wù)器，而是從低層次的計(jì)算機(jī)開(kāi)始，然后轉(zhuǎn)移到其他設(shè)備并獲得特權(quán)。”

企業(yè)做了相當(dāng)多的工作來(lái)確保關(guān)鍵服務(wù)器免受惡意軟件的威脅，但大多數(shù)企業(yè)并沒(méi)有保持這些系統(tǒng)與其他更易受攻擊系統(tǒng)的分隔。

解決辦法： 企業(yè)需要確保第三方遵循遠(yuǎn)程訪問(wèn)安全最佳做法，例如強(qiáng)制執(zhí)行多因素身份驗(yàn)證、每個(gè)用戶使用唯一憑證、設(shè)置最小權(quán)限以及全面審計(jì)所有遠(yuǎn)程訪問(wèn)活動(dòng)。

特別是，企業(yè)應(yīng)該盡快禁用不再需要的第三方賬戶;監(jiān)控失敗的登陸嘗試;對(duì)潛在攻擊進(jìn)行紅色標(biāo)記。

應(yīng)對(duì)數(shù)據(jù)泄露事故的通用指南

RSA公司技術(shù)解決方案主管Rob Sadowsi稱：“大多數(shù)企業(yè)現(xiàn)在認(rèn)識(shí)到，數(shù)據(jù)泄露事故不是關(guān)于‘是否’的問(wèn)題，而是‘什么時(shí)候’的問(wèn)題。”為了最大限度地減小安全泄露事故的影響，企業(yè)應(yīng)該執(zhí)行風(fēng)險(xiǎn)評(píng)估來(lái)確定敏感數(shù)據(jù)的位置以及部署了哪些控制和程序來(lái)保護(hù)這些數(shù)據(jù)。

然后，創(chuàng)建一個(gè)全面的事件響應(yīng)(和災(zāi)難恢復(fù)/業(yè)務(wù)連續(xù)性)計(jì)劃，確定參與的人員，從IT、法律部門(mén)、人力資源部門(mén)到高管，并對(duì)計(jì)劃進(jìn)行測(cè)試。