你究竟有多少安全疏忽?

安全
在多次的系统数据泄漏导致其至少1亿客户的敏感数据暴露之后,SONY公司设立了一个首席信息安全官职位,并正在实施额外的防火墙和其它安全保护措施。

在多次的系统数据泄漏导致其至少1亿客户的敏感数据暴露之后,SONY公司设立了一个首席信息安全官职位,并正在实施额外的防火墙和其它安全保护措施。

该公司是一系列与知名度高的数据泄漏作斗争的公司之一,数据泄漏在2011年的头几个月让这些公司处境艰难。RSA是EMC公司的安全部门,它仍在调查一个可能已经使其最珍贵的资产——知识产权暴露的数据泄漏。市场服务公司Epsilon Data Management,负责为包括RSA在内的许多主要公司处理客户邮箱地址和其它信息,它也经历了严重的系统数据泄漏。

Sony公司的高管们已为他们的安全过失道歉,并将为客户提供免费的信用监控,这是跟踪数据泄漏的一个标准措施。但是,安全专家表示,Sony的泄漏暴露出了太多问题,包括公司无法将客户的敏感支付数据与其系统的其它数据隔离。Sony的初始泄漏影响到了其PlayStation网络的7700万用户。而在一周之后,该公司透露,依赖于其在线娱乐部门的一个服务器也被暴露了,该服务器可以追溯到2007年的信用卡信息,此次事故可能会影响到另外的2400万人。同时,在日本的第三次系统数据泄漏会影响到超过几百万的Sony客户。

专家表示,最近的数据泄漏表明企业需要对数据安全进行更好的管理。安全顾问公司Holmquist Advisory的总裁Eric Holmquist说道,很多时候,公司注重于基础架构和系统安全改善,但却不能获取存储在远程系统上的数据清单。

“我已经看到许多这样的情况,人们可以证明所有的技术、所有的程序以及所有的政策,但当你说,‘太好了,数据清单在哪里呢?’然后你就会得到茫然凝视。”Holmquist说,“经常需要一个重大事件才能使人们把事情做得更好,这是很不幸的。”

Jon Gossels是咨询公司SystemExperts的总裁和首席执行官,他建议所有公司,无论大小,都拿自身与ISO 270002对照。该框架可以帮助公司对其安全政策进行正式化,从而更紧密的管理他们的资产,并把操作管理、风险分析和访问控制连接起来。

“理解你的业务应该以什么方式运作以及它实际是怎么运作的,并找出两者间的差距。”Gossels说道。

Gossels表示,Sony的数据泄漏与其它公司的泄漏存在相同之处。通常情况下,各公司不会运行最新的软件。即使它们运行的是更新的软件,一个配置错误也可以引起缺陷,他说道。据2011年的Verizon数据泄漏调查报告称,几乎所有被分析的数据泄漏都利用了配置缺陷或“系统/应用程序的固有功能”。事实上,Verizon发现,在381件泄漏中只有五个被利用的漏洞归咎于黑客。

参照RSA的数据泄漏事件,“我们发现,在当前,即使是那些在安全方面很擅长的公司也非常容易受到攻击。”Gossels说道,“现在,有组织犯罪猖獗,还出现了敌对的外国政府以及工业间谍等事件;攻击者们正试图做一些难以发现的事情。”

在很多情况下,各组织正在做更好的补丁工作,但是极少数工作是用来解决旧系统中的软件漏洞问题,Bill Curtis这样说道,他是IT软件质量协会的主管和合伙人。即使SQL注入、跨站点脚本以及缓冲区溢出等漏洞被找到并修补了,一个坚定的黑客也会找到他的入侵方法,Curtis说道。他认为,公司需要对他们的系统执行一个更彻底的代码审查,同时保持一个更好的配置管理程序。

“一旦你将你的应用程序暴露在网络上,你就会与你可能不认识的人存在各种难以预料的互动,”Curtis说,“一个支付系统不会希望被连接到一个用于游戏世界的系统。”

责任编辑:于爽 来源: TechTarget中国
相关推荐

2009-02-17 14:07:21

2020-06-30 09:25:49

无线路由器Wi-Fi网络

2021-10-11 15:57:49

物联网5G技术

2020-09-16 08:54:24

物联网IOT物联网技术

2019-06-10 09:12:46

华为硬件产品

2016-02-22 09:56:37

2009-03-13 08:56:31

Symbian手机OS诺基亚

2024-01-15 07:14:37

kubernetesk8sLTS

2017-09-19 01:31:21

AI职场取代

2018-10-18 09:41:41

2012-07-23 10:19:08

微软Azure云计算

2019-06-03 00:24:10

华为禁令开发

2017-07-07 11:25:37

商用电脑秘密

2021-02-23 19:29:57

智能网卡SmartNIC网络

2022-09-09 07:41:35

DatabricksSnowflake数据

2017-06-12 08:14:54

电商打印设备京东

2018-06-21 07:40:23

无线充电无线供电无线输电

2012-01-11 10:14:58

HTML 5

2013-11-27 11:12:12

5G4G第五代移动通信

2020-03-24 14:48:12

DevOps敏捷区别
点赞
收藏

51CTO技术栈公众号