索尼公司已经花费1.71亿美元处理其数据泄漏所带来的后果。有一家安全公司列出了索尼的一些错误。
2011年的春天对索尼高管来说可没什么温暖。安全厂商Lumension Security将大规模的索尼数据泄漏事件放在一起,绘出了一张时间表。该公司还概述了可能会让索尼进一步受害(信誉和金钱)的一些失误。
索尼数据泄漏
图为索尼数据泄露时间表(点击查看大图)
索尼的PlayStation网络于4月20日关闭,同时取证组开始调查索尼数据泄漏的范围。截止到5月2日,该泄漏事件影响了大约1亿人,且蔓延到了其在线娱乐部分(Online Entertainment division)。
索尼已采取了额外的保安措施,但在5月18,索尼发现了其密码重设应用中的一个漏洞,从而导致了有一次短暂关闭。
在大量数据泄漏事件中,索尼是其中备受瞩目的一个,它标志着2011年数据泄漏的开始。
每一次事件都向我们揭露了安全的缺陷:配置问题,漏洞,社会工程攻击,将这些结合起来就给网络犯罪分子们提供了一份可以进入系统的路线图。
上个月,Mandiant公司首席安全官Richard Bejtlich告诉我的同事Eric Parizo,是时候创造新的方法来对付攻击了。Bejtlich建议大型企业可以采取负担得起的反威胁行动,这些企业可以主动出击“积极在他们的内部寻找入侵者。”
其他的企业则应对基础知识进行更新:
重新审视你的安全策略。它们可以有效地传达给员工吗?它们是如何得到实施的。专家表示,改善沟通是减少数据泄漏长期有效的方法。员工们会将别的设备引入到网络上,但他们很多都不知道公司的安全策略是什么,或者有些策略是强制执行的。一些处理敏感数据的员工通常认为有潜在的技术可以提供安全保护。
进行数据审计(说起来比做起来容易),从而发现你系统上最敏感的数据在哪里。专家表示,公司经常在部署安全技术时,甚至不知道他们的数据所在。这种做法本可以让索尼不会受到进一步的损害的。索尼发现了一个暴露的服务器,其上包含的信用卡数据可以追溯到2007年。
确保你的安全技术得到正确的配置。通常,Web应用防火墙或其他安全设备的实施是为了满足合规要求,但它们很少设置策略,因此在减少威胁方面也没什么作用。那些花些时间来调整安全设备的企业,可以发现可疑的活动或发出警报,从而避免严重的数据泄漏,甚至可以在过程中检测到一次攻击,就像RSA在其系统上所做的一样。
针对应用和系统进行Web漏洞评估。正如我们在Verizon数据泄漏调查报告中所看到的,网络犯罪分子总是选择那些唾手可得的目标作为切入点。一个全面的Web应用程序及其底层链接到的基础设施评估,会使攻击者难以渗透网络。
为数据泄露作好准备。专家说,既然会发生,那么就为这不可避免的事情做好准备。拥有应急计划和由强有力的领导者领导的集中应急响应小组的公司,会遭遇更少的痛苦。不过,这也是说起来容易做起来难,但在采取事故应急计划时也有一些关键步骤。
采取以上这些措施并不会使一个有预谋的攻击停止,但它们可以将网络犯罪分子拖延足够长的时间,从而警告系统有异常,并在失控前,应急小组孤立并最终减少数据泄漏的程度。