2017年的数据泄露带给我们的经验与教训

相关信息安全研究人员对2017年数据泄漏事件进行总结归纳,提出一些新的观点,以便让我们从2017年所发生的数据泄露事件中吸取经验和教训。

2017年的数据泄露带给我们的经验与教训

以下两个因素会对安全事件产生重要影响:

1过度暴露高风险机密——这种因素是导致严重安全事件发生的主要原因,很多影响严重的事件都具备这种特征。

2受害用户的可用日志——它既是帮助组织从攻击事件中快速恢复的良药,也是导致用户重要凭证信息被盗的“罪魁祸首”。

安全团队需要知道“战场”在哪里

对于“跨多个公司间安全团队协同合作”这个概念而言,今年绝对是一个重大突破和胜利。其中,最典型的案例就是OneLogin以及Cloudbleed的数据泄露事件。

拥有优秀网络安全团队的公司数量正在迅速增加,而且他们也逐渐能够理解和区分各自客户代表给他们反馈回来的各种不同的安全信息了。

虽然很多公司在遇到数据泄露等安全事件时,没有办法去适当的处理。但很多公司会选择进入“响应模式”,然后跟其他团队分享事件信息,并讨论如何缓解安全事件所带来的影响(包括告诉客户如何采取相应措施来保护自己)。因此,更加紧密的信息共享让这些团队能够更加快速、有效和自信地处理安全事件了。

应对方案

“出去走走,多交些朋友。”你可以多去各种社区逛逛,多跟竞争对手的安全团队交流,分享各类安全事件的处理过程,努力成为社区中一名优秀的成员。

基础信息安全

其实,有很多安全事件都是企业或组织自身问题或信息系统安全问题所导致的。这些事件可能是程序的代码或者基础设施的配置不当或缺乏关键信息安全基础建设等原因导致。这类事件并没有什么神秘可言,而一切都可以通过相当具体的调查任务来发现漏洞的成因。

在事件调查的过程中,通常需要法律顾问,通信团队,甚至是某些特殊用户的参与。安全工程师将需要进行各种单元测试,并避免将来出现类似的安全问题。

应对方案

每一个企业和组织都应该根据自己的情况来设计出合适的安全应急响应方案以及取证分析方案,否则历史很可能会重演。

信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

需要注意的是,如果不对自己的基础设施(例如代码和服务器等等)进行定期技术检测的话,你很可能会因为其中潜在的安全问题而陷入困境。

记者跟公司雇员间直接联系渐多

内幕泄露也成为了今年的一种趋势。今年很多公司都发现,越来越多的记者开始通过社交媒体平台或者加密聊天应用来跟企业雇员进行频繁的联系,而这些记者往往会直接跟他们询问一些非常“敏感”的信息,尤其是一些涉及到企业业务计划和新产品的相关内容。

这种情况跟前几年见到的有些不同,因为企业员工跟外部的这种“接触”变得越来越频繁,而且针对员工的垃圾邮件也越来越多,这将会大大增加员工泄露重要机密数据的可能性。

应对方案

企业和组织应该尽可能地限制这类“交流”的发生,并要求员工按照“无可奉告”政策来行事。如果不得已需要跟记者或媒体联系的话,请一定要构建一种可信的通信渠道。

这样做有两个好处:首先,这样可以从某种程度上降低数据泄露发生的可能性;其次,当数据泄露发生的时候,你可以迅速知道数据的泄漏源。

短信跟身份认证

目前,很多在线服务以及应用程序都允许用户通过短信来重置账户密码。如果攻击者知道了验证短信的内容,那你就危险了。

目前有多种方法可以帮助攻击者获取到目标用户的验证短信,而绝大多数方法都涉及到对通信运营商进行社会工程学技术。攻击者可以将电话号码转移到其他运营商,并拦截目标短信。或者说,他们可以注册同一运营商旗下的SIM卡,然后实现短信拦截。而他们的这些攻击技术同样适用于基于Web的短信。

应对方案

为了彻底解决这种安全问题,我们应该想办法用其他类型的认证方式来替换掉基于手机短信的验证方式。除此之外,在企业和组织的日常安全培训中,我们也应该培养员工对这方面的安全意识。

总结

今年的情况其实跟去年没多大区别,但这件事情本身就应该是一次“教训”。既然去年已经出现过类似的情况或者发生了类似的事情了,那为什么今年还会“历史重演”呢?因此,我们应该将注意力放在更加有效的风险管理方案身上。

如果我们更愿意和大家分享手中的信息和资源,我们将能够构建出更多的威胁模型,并将它们应用到各类场景之中。

参考来源:medium

FreeBuf编译

优炫软件为客户提供持续的各类技术支持服务、提供产品使用所必须的客户培训;通过多种渠道提供各种形式的技术支持服务;长期提供产品运维所需的技术咨询服务;设立方便、有效的售后渠道;制定上门提供技术服务的程序和规范。

有效的客户服务体系保障与客户沟通联系,配置专职服务管理人员和监督人员、专职服务工作人员、专业技术服务人员,24小时全方位立体化维护您的数据安全。

本文来自企鹅号 - 优炫软件媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏知晓程序

小程序来了,普通人如何抓住这一波创业机会?| 未来小程序 Pro

792
来自专栏FreeBuf

观点 | 没有BAT3级的应急响应中心,互联网公司该如何应对数据泄露事件?

有一句流行的鸡汤文大家都耳熟能详——我们走的太快,灵魂都跟不上了。这两天网易邮箱的数据泄露事件,又一次将我们的关注从“爆发性创新与指数级增长”拉回来审视当前糟糕...

1817
来自专栏草根博客站长有话说

我为什么现在要开始运营个人微信公众号

很多站长朋友们都现最近明月最近的微信公众号【草根博客站长有话说】(微信号:imydl-blog)最近的推送都很频繁,几乎可以和博客的更新同步了,并且推送内容都是...

623
来自专栏安恒信息

半数英国企业欲聘黑客保护网络

据《华尔街日报》报道——越来越多的公司开始注意到公司内部网络存在安全隐患,但是有许多企业无力聘请、雇佣安全专家,所以越来越多的英国公司开始寻找黑客以及有网络犯罪...

2766
来自专栏区块链维基

获得丁磊投资的Arcblock,开始交易就涨了1倍

概览 一个高性能、用户友好、可自由选择底层区块链技术的应用服务平台 总量: 1.86亿 最大销售令牌数量:45% 软顶:12000 ETH 硬顶:37500 E...

2966
来自专栏腾讯大讲堂的专栏

互联网金融产品的设计思考

导语 | 互联网金融是近年来的热门词,刚进入2017,腾讯金融、蚂蚁金融、百度金融就吹响了新的冲锋号:腾讯推出黄金红包,小马哥亲自站台指导;蚂蚁金服并购美国Mo...

3527
来自专栏安恒信息

安恒信息获第七届CNCERT网络安全应急服务支撑单位考核国家级良好等级

近日,国家互联网应急中心组织开展了第七届CNCERT网络安全应急服务支撑单位考核工作,主要对2017年6月1日至2018年4月30日期间支撑工作情况进行了考核评...

803
来自专栏人称T客

移动OA调研:引入目的提升工作效率 长时间内操作的事务使用并不乐观

昨天我们分析了目前移动OA的应用情况,多数应用集中在事务型工作的处理,而这一类的产品由于同志化过于集中,功能相似因此没有特别突出的厂商出现,但是在分析决策层面移...

2424
来自专栏PPV课数据科学社区

【数据可视化专题】开启大数据时代最后一公里:数据可视化工具Echarts

在大数据的时代背景下数据可视化的价值显得尤为突出,国内外出现了很多数据可视化产品,其中又以在Web上呈现数据统计图表的组件库最为多样,国外比较著名的如Highc...

2383
来自专栏互联港湾

与品高强强联合,互联港湾混合云布局有道

1334

扫码关注云+社区