从今年的安全泄露事故学到的6个经验
|
副标题[/!--empirenews.page--]
根据开放安全基金会表示,迄今为止最严重的10起安全泄露事故中,3起事故发生在今年。这包括NYC Taxi & Limousine Commission的 1.73亿条记录泄露事故,易趣的1.45亿条记录泄露事故以及韩国信用局的1.04亿条记录泄露事故。而这还没有算上据称俄罗斯黑客窃取的12亿用户名和密码,或者最近从韩国游戏网站发现被盗的2.2亿条记录。
根据开放安全基金会和Risk Based Security公司表示,2014年正在取代2013年成为泄露数据量最高的一年。
如果我们能够从错误中吸取教训,那么今年应该会成为安全教育标志性的一年。
下面是一些经验教训:
1. 是时候认真考虑人员配备问题
在信息安全最大的安全漏洞可能根本不是技术方面的问题。
“在2014年,大约40%的安全职位为空置,”惠普企业安全产品首席技术官Jacob West表示,“并且,当你看看高级安全职位,空置率达到近49%。无论我们使用什么样的技术,无论我们如何努力保护系统,如果我们的队伍人手不够,我们将会看到我们的对手取得成功。”
West引用的数据来自于今年春天由惠普赞助Ponemon研究所发布的研究报告,其中显示,70%的受访者表示其安全部门人员不足。主要的原因是什么?根据43%的受访者表示,原因在于企业未提供有竞争力的薪酬。
根据5月份由IBM赞助的另一个Ponemon研究显示,数据泄露事故的平均总成本上升了15%,达到350万美元,而包含敏感信息和机密信息的每条丢失或被盗记录的平均成本增长超过9%,从2013年的136美元增长到今年的145美元。对此,企业可能要重新考虑其安全人员预算了。
2.了解你的代码
在过去10年中,很多企业都采用了软件安全最佳做法,在基础层面构建安全性。
.然而,这仅仅是对于他们自己编写的代码。
“今年暴露出的问题之一是,企业并没有自己编写大部分软件,Shellshock和Heartbleed等漏洞更是说明了这一点,”惠普的West表示,“软件其实是拼装的,而不是编写的。我们拿来商业组件和开源组件,然后在上面构建一些专有性。”
这样做的结果是,有些企业花了几个星期,甚至几个月,试图整理其系统,以及弄清楚他们在哪里使用了易受攻击版本的SSL。
企业需要先彻底了解他们正在使用什么应用程序,他们在哪里以及如何使用这些程序,以及其相对重要性。自动扫描系统在这方面可能有所帮助,但最终,这还是需要人的努力。
3.渗透测试是谎言
渗透测试是安全审计的组成部分。事实上,支付卡行业数据安全标准中有这一要求。
渗透测试公司Rook Security首席执行官J.J.Thompson表示:“遭受过数据泄露事故的每个公司都有渗透测试报告称攻击者无法获取数据,或者,如果他们可以得到,但并不重要的数据。”
那么,为什么渗透测试不能暴露潜在安全漏洞,让公司能够解决这些问题呢?
“这很简单,”Thompson表示,“渗透测试报告一般都是谎言。”
或者换句话说,与真正的攻击者相比,渗透测试人员能做的和不能做的更加有限制。
“你无法冒充别人,因为这并不是我们的测试方式,”Thompson表示,“你无法建立一个与Facebook个人资料相关的钓鱼网站,因为这太离谱。”
真正的攻击者因为入侵一家公司,已经触犯了法律,他们可能并不担心触犯其他法律。而白帽安全公司则不太愿意通过跟踪其客户或供应商系统而入侵一家公司。或者冒充政府官员,或损坏设备,或劫持企业员工的朋友或家庭成员的社交媒体账号来入侵公司。
[page] 4.物理安全遇见网络安全
最近攻击团伙瞄准了美国东海岸的一家公司(+微信关注网络世界),他们绕过防火墙,提取其领导层的数据,并获取即将举行的活动的信息,以及这些活动将要使用的设施。
John Cohen表示:“当局认为,这是该组织前期规划工作的一部分。”他此前是美国国土安全局的反恐协调员兼情报和分析代理副秘书,现在是安全供应商Encryptics公司首席战略顾问。
Cohen称:“这里同时涉及了物理安全和网络安全。”
这也可以反过来进行,通过攻击设备物理地入侵来进行数字盗窃
企业安全必须更加全面。闯入办公现场的盗贼可能一直在寻找易于突破的电子设备,或者他们可以部署键盘记录器。
5. 做好失败计划,第一部分
如果你肯定地知道攻击者将要入侵你的系统,你的做法会有什么不同?
在今年的高曝光率数据泄露事故后,很多人都在问自己这个问题,并开始以不同的角度思考安全问题。
(编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
