2017年的数据泄露带给我们的经验与教训

相关信息安全研究人员对2017年数据泄漏事件进行总结归纳,提出一些新的观点,以便让我们从2017年所发生的数据泄露事件中吸取经验和教训。

2017年的数据泄露带给我们的经验与教训

以下两个因素会对安全事件产生重要影响:

1过度暴露高风险机密——这种因素是导致严重安全事件发生的主要原因,很多影响严重的事件都具备这种特征。

2受害用户的可用日志——它既是帮助组织从攻击事件中快速恢复的良药,也是导致用户重要凭证信息被盗的“罪魁祸首”。

安全团队需要知道“战场”在哪里

对于“跨多个公司间安全团队协同合作”这个概念而言,今年绝对是一个重大突破和胜利。其中,最典型的案例就是OneLogin以及Cloudbleed的数据泄露事件。

拥有优秀网络安全团队的公司数量正在迅速增加,而且他们也逐渐能够理解和区分各自客户代表给他们反馈回来的各种不同的安全信息了。

虽然很多公司在遇到数据泄露等安全事件时,没有办法去适当的处理。但很多公司会选择进入“响应模式”,然后跟其他团队分享事件信息,并讨论如何缓解安全事件所带来的影响(包括告诉客户如何采取相应措施来保护自己)。因此,更加紧密的信息共享让这些团队能够更加快速、有效和自信地处理安全事件了。

应对方案

“出去走走,多交些朋友。”你可以多去各种社区逛逛,多跟竞争对手的安全团队交流,分享各类安全事件的处理过程,努力成为社区中一名优秀的成员。

基础信息安全

其实,有很多安全事件都是企业或组织自身问题或信息系统安全问题所导致的。这些事件可能是程序的代码或者基础设施的配置不当或缺乏关键信息安全基础建设等原因导致。这类事件并没有什么神秘可言,而一切都可以通过相当具体的调查任务来发现漏洞的成因。

在事件调查的过程中,通常需要法律顾问,通信团队,甚至是某些特殊用户的参与。安全工程师将需要进行各种单元测试,并避免将来出现类似的安全问题。

应对方案

每一个企业和组织都应该根据自己的情况来设计出合适的安全应急响应方案以及取证分析方案,否则历史很可能会重演。

信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

需要注意的是,如果不对自己的基础设施(例如代码和服务器等等)进行定期技术检测的话,你很可能会因为其中潜在的安全问题而陷入困境。

记者跟公司雇员间直接联系渐多

内幕泄露也成为了今年的一种趋势。今年很多公司都发现,越来越多的记者开始通过社交媒体平台或者加密聊天应用来跟企业雇员进行频繁的联系,而这些记者往往会直接跟他们询问一些非常“敏感”的信息,尤其是一些涉及到企业业务计划和新产品的相关内容。

这种情况跟前几年见到的有些不同,因为企业员工跟外部的这种“接触”变得越来越频繁,而且针对员工的垃圾邮件也越来越多,这将会大大增加员工泄露重要机密数据的可能性。

应对方案

企业和组织应该尽可能地限制这类“交流”的发生,并要求员工按照“无可奉告”政策来行事。如果不得已需要跟记者或媒体联系的话,请一定要构建一种可信的通信渠道。

这样做有两个好处:首先,这样可以从某种程度上降低数据泄露发生的可能性;其次,当数据泄露发生的时候,你可以迅速知道数据的泄漏源。

短信跟身份认证

目前,很多在线服务以及应用程序都允许用户通过短信来重置账户密码。如果攻击者知道了验证短信的内容,那你就危险了。

目前有多种方法可以帮助攻击者获取到目标用户的验证短信,而绝大多数方法都涉及到对通信运营商进行社会工程学技术。攻击者可以将电话号码转移到其他运营商,并拦截目标短信。或者说,他们可以注册同一运营商旗下的SIM卡,然后实现短信拦截。而他们的这些攻击技术同样适用于基于Web的短信。

应对方案

为了彻底解决这种安全问题,我们应该想办法用其他类型的认证方式来替换掉基于手机短信的验证方式。除此之外,在企业和组织的日常安全培训中,我们也应该培养员工对这方面的安全意识。

总结

今年的情况其实跟去年没多大区别,但这件事情本身就应该是一次“教训”。既然去年已经出现过类似的情况或者发生了类似的事情了,那为什么今年还会“历史重演”呢?因此,我们应该将注意力放在更加有效的风险管理方案身上。

如果我们更愿意和大家分享手中的信息和资源,我们将能够构建出更多的威胁模型,并将它们应用到各类场景之中。

参考来源:medium

FreeBuf编译

优炫软件为客户提供持续的各类技术支持服务、提供产品使用所必须的客户培训;通过多种渠道提供各种形式的技术支持服务;长期提供产品运维所需的技术咨询服务;设立方便、有效的售后渠道;制定上门提供技术服务的程序和规范。

有效的客户服务体系保障与客户沟通联系,配置专职服务管理人员和监督人员、专职服务工作人员、专业技术服务人员,24小时全方位立体化维护您的数据安全。

本文来自企鹅号 - 优炫软件媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯技术工程官方号的专栏

海量服务 | 论服务器极致化海量运营交付的未来

看标题一定会有些歧义, 总觉着是来讨论航运的, 其实是来和大家研讨我厂海量服务器的营运。

7.6K17
来自专栏SDNLAB

数据中心的未来:墙壁倒塌了

信用报告巨头Experian plc的开发人员编写代码时根本不知道它们是否会在公司的数据中心内运行,还是一个被称为托管中心租用的空间里,亦或是在云端,再或者是这...

752
来自专栏BestSDK

【一周简报】听云APM:如何让春水堂给用户带来“快感”

智选SDK一周资讯大事记,将会为您呈现过去一周最受欢迎的SDK资讯、投融资、企业活动、人物访谈和创业故事等信息。让您在最短的时间内了解最火爆的前沿信息。 云通讯...

25810
来自专栏程序员的知识天地

成熟程序员标志,这八点你能做到几点?

程序员在经历了若干年编程工作之后,很想知道自己水平到底如何?自己是否已经成为成熟的程序员?虽然程序员会对自己有一个自我评价,但是,自己的评 价和社会的评价、专业...

973
来自专栏罗超频道

云计算如何获得信任?认证评级

云计算的本质在于通过集中供应式的弹性计算,降低计算成本。与水厂、电厂不同的是,云计算使用者需要把数据交给云计算厂商,这让一些厂商对云计算心存芥蒂,宁愿使用一些昂...

3428
来自专栏FreeBuf

基于不同视角的安全管理

常常被问到几个类似的问题“为什么国内很少听到真正CSO、CISO的职位与人员”、“如何做好一个企业的安全负责人”“一个企业安全负责人应该具备什么样的能力要素”等...

1283
来自专栏老司机的技术博客

你干了一辈子信息化,可能你都不了解信息化的本质

因为要连接,所以你要被迫开放你想和别人连接的那部分,否则别人怎么连你。我是不认可全部开放的。

782
来自专栏ThoughtWorks

提升业务响应力:践与行|商业洞见

金融企业转型的三个挑战 从2009年到现在,我们在包括国有商业银行、股份制银行等传统金融企业里做敏捷转型咨询时,为了提升业务响应力,发现他们常常面临一些相似的挑...

2814
来自专栏罗超频道

云存储进入决胜期,运营商还有机会

这是一个值得纪念的日子,中国电信天翼云2岁了。2012年,个人云空间在中国如雨后春笋,百度云、腾讯微云、电信天翼云、移动彩云、网易云空间、360云盘纷纷出世...

3305
来自专栏云计算D1net

迈向云服务 要清楚的几件事

向云过渡前,数据中心用户真正应该关心的问题是什么?面对不同的服务需求,数据中心应该寻找什么样的云技术进行改造?决定云计算数据中心效率、能耗、管理等问题的关键技术...

2595

扫码关注云+社区