我们已经对大量知名企业的数据泄漏事件见怪不怪,但在2011年泛滥的数据泄漏事件出现时,这些知名公司在保护他们宝贵的数字资产时所表现出来的无能为力,让我感到震惊。
请原谅我有些夸张的说法,但由于种种原因,这些最近发生的事件重新定义了企业在信息安全方面的失策。让我们简要回顾一下最令人震惊的事件:
RSA SecurID解决方案最早是从鱼叉式网络钓鱼(spear phishing)攻击开始被突破的:至少有一个EMC公司安全部门的员工成为针对性电子邮件攻击的牺牲品;数字犯罪分子们通过结合社会工程和恶意附件,暴露了RSA公司高利润的SecurID认证产品的详细信息。但值得称道的是,作为信息安全最突出的品牌之一,RSA的技术可以快速有效地检测和阻止攻击,比如很可能做到有效地控制已在其他地方造成破坏的攻击行为。
自动安全事故:流行的博客平台WordPress背后的公司遭受到一起被其称为“底层突破” 的攻击。牵连到几个服务器,并导致了敏感信息和自定义源代码的失窃。
索尼披露了PlayStation平台上的网络黑客事件:在这一可能是迄今为止最大的数据泄露事件中,攻击者强行绕过了索尼自称为“非常复杂的安全系统”,窃取了超过7500万会员的个人数据,这一规模相当于美国人口的四分之一。甚至客户加密信用卡数据也可能已经被窃取。
以上列出来的还不包括McAfee公司和Barracuda网络公司所遭受到的重大网络攻击,以及HBGary Federal公司的严重安全问题,如果信息安全领域设置了达尔文奖,那么HBGary Federal肯定是今年的得主(不然只有空缺了)。
最近所有的数据破坏或损失,是由不同的过程和技术上的安全控制缺口引起的,但它们都反映出企业根本无力保护自己最重要的东西:知识产权和客户数据。...
很难确切地知道这些公司花了多大的功夫来防止此类事件,但行业观察者应该从这些案例中学到了宝贵经验,即试图阻止信息泄露的“普通方式”没什么效果。RSA公司比大多数的公司都懂安全问题,并将所有的信誉都建立在其自身的安全上,但是如果连RSA这样的公司都有百密一疏的情况,在阻止攻击者窃取其最重要的知识财产上受挫,那么可以预计其他的普通公司也不会做得更好。
我认为有两个关键的经验教训:企业必须在攻击到来前就主动去发现自身(所有类型的)安全弱点;即使那样做了,企业仍然必须做好失败的准备,并制定相关的反应机制。
在最近出版的信息安全杂志Essential Guide的威胁管理部分中,Mandiant公司的首席战略官Richard Bejtlich写道:“为了更好地防范有针对性的攻击,必须进行反威胁行动(counter-threat operations ,CTOps)。换句话说,防御者必须积极寻找入侵者”。
Bejtlich提供了证实反威胁行动方法的最佳方式,并组建一个团队来做这项工作,但是根本的办法应该是不间断的去寻找创新的解决方法。这不仅要识别威胁和弱点,同时也需要用可靠的技术和可重复的流程来解决问题。如果你只是口头上说说,相当于变相鼓励了攻击者,所以不想失败的话,公司只有跟上形势,并且必须不断的创新。
这就是说,同确保数据保护成功一样重要的是,失败是不可避免的,泄露必然会发生。本周,总部位于圣路易斯的基础设施和主机提供公司Savvis Inc.的安全咨询业务主管Lenny Zeltser告诉我,各公司应安排一次泄露演习,以便在真实的泄露事件发生之前,了解减轻损害所必须实施的关键步骤。
Zeltser说:“当你所在的公司拥有很多员工时,他们都有可能受到社会工程学的攻击,攻击面是如此之大,即使你在建立技术和流程来抵抗攻击方面做了很多,还是防不胜防。你应该按照你对安全的假设来制定反应策略。”
在这一年中,当移动设备数量以空前的速度增加,IPv4地址即将快速的消耗殆尽,所有的安全专家都应重点关注这些问题上,但不幸的是,频频爆出知名公司数据泄露事件。虽然这种情况我们已经见过很多次,但我们希望企业能够明白,是时候采取新的方法来保护数据了。因为企业没什么可失去的,除了他们最重要的数据。