在多次的系统数据泄漏导致其至少1亿客户的敏感数据暴露之后,SONY公司设立了一个首席信息安全官职位,并正在实施额外的防火墙和其它安全保护措施。
该公司是一系列与知名度高的数据泄漏作斗争的公司之一,数据泄漏在2011年的头几个月让这些公司处境艰难。RSA是EMC公司的安全部门,它仍在调查一个可能已经使其最珍贵的资产——知识产权暴露的数据泄漏。市场服务公司Epsilon Data Management,负责为包括RSA在内的许多主要公司处理客户邮箱地址和其它信息,它也经历了严重的系统数据泄漏。
Sony公司的高管们已为他们的安全过失道歉,并将为客户提供免费的信用监控,这是跟踪数据泄漏的一个标准措施。但是,安全专家表示,Sony的泄漏暴露出了太多问题,包括公司无法将客户的敏感支付数据与其系统的其它数据隔离。Sony的初始泄漏影响到了其PlayStation网络的7700万用户。而在一周之后,该公司透露,依赖于其在线娱乐部门的一个服务器也被暴露了,该服务器可以追溯到2007年的信用卡信息,此次事故可能会影响到另外的2400万人。同时,在日本的第三次系统数据泄漏会影响到超过几百万的Sony客户。
专家表示,最近的数据泄漏表明企业需要对数据安全进行更好的管理。安全顾问公司Holmquist Advisory的总裁Eric Holmquist说道,很多时候,公司注重于基础架构和系统安全改善,但却不能获取存储在远程系统上的数据清单。
“我已经看到许多这样的情况,人们可以证明所有的技术、所有的程序以及所有的政策,但当你说,‘太好了,数据清单在哪里呢?’然后你就会得到茫然凝视。”Holmquist说,“经常需要一个重大事件才能使人们把事情做得更好,这是很不幸的。”
Jon Gossels是咨询公司SystemExperts的总裁和首席执行官,他建议所有公司,无论大小,都拿自身与ISO 270002对照。该框架可以帮助公司对其安全政策进行正式化,从而更紧密的管理他们的资产,并把操作管理、风险分析和访问控制连接起来。
“理解你的业务应该以什么方式运作以及它实际是怎么运作的,并找出两者间的差距。”Gossels说道。
Gossels表示,Sony的数据泄漏与其它公司的泄漏存在相同之处。通常情况下,各公司不会运行最新的软件。即使它们运行的是更新的软件,一个配置错误也可以引起缺陷,他说道。据2011年的Verizon数据泄漏调查报告称,几乎所有被分析的数据泄漏都利用了配置缺陷或“系统/应用程序的固有功能”。事实上,Verizon发现,在381件泄漏中只有五个被利用的漏洞归咎于黑客。
参照RSA的数据泄漏事件,“我们发现,在当前,即使是那些在安全方面很擅长的公司也非常容易受到攻击。”Gossels说道,“现在,有组织犯罪猖獗,还出现了敌对的外国政府以及工业间谍等事件;攻击者们正试图做一些难以发现的事情。”
在很多情况下,各组织正在做更好的补丁工作,但是极少数工作是用来解决旧系统中的软件漏洞问题,Bill Curtis这样说道,他是IT软件质量协会的主管和合伙人。即使SQL注入、跨站点脚本以及缓冲区溢出等漏洞被找到并修补了,一个坚定的黑客也会找到他的入侵方法,Curtis说道。他认为,公司需要对他们的系统执行一个更彻底的代码审查,同时保持一个更好的配置管理程序。
“一旦你将你的应用程序暴露在网络上,你就会与你可能不认识的人存在各种难以预料的互动,”Curtis说,“一个支付系统不会希望被连接到一个用于游戏世界的系统。”