2017年的数据泄露带给我们的经验与教训

相关信息安全研究人员对2017年数据泄漏事件进行总结归纳,提出一些新的观点,以便让我们从2017年所发生的数据泄露事件中吸取经验和教训。

2017年的数据泄露带给我们的经验与教训

以下两个因素会对安全事件产生重要影响:

1过度暴露高风险机密——这种因素是导致严重安全事件发生的主要原因,很多影响严重的事件都具备这种特征。

2受害用户的可用日志——它既是帮助组织从攻击事件中快速恢复的良药,也是导致用户重要凭证信息被盗的“罪魁祸首”。

安全团队需要知道“战场”在哪里

对于“跨多个公司间安全团队协同合作”这个概念而言,今年绝对是一个重大突破和胜利。其中,最典型的案例就是OneLogin以及Cloudbleed的数据泄露事件。

拥有优秀网络安全团队的公司数量正在迅速增加,而且他们也逐渐能够理解和区分各自客户代表给他们反馈回来的各种不同的安全信息了。

虽然很多公司在遇到数据泄露等安全事件时,没有办法去适当的处理。但很多公司会选择进入“响应模式”,然后跟其他团队分享事件信息,并讨论如何缓解安全事件所带来的影响(包括告诉客户如何采取相应措施来保护自己)。因此,更加紧密的信息共享让这些团队能够更加快速、有效和自信地处理安全事件了。

应对方案

“出去走走,多交些朋友。”你可以多去各种社区逛逛,多跟竞争对手的安全团队交流,分享各类安全事件的处理过程,努力成为社区中一名优秀的成员。

基础信息安全

其实,有很多安全事件都是企业或组织自身问题或信息系统安全问题所导致的。这些事件可能是程序的代码或者基础设施的配置不当或缺乏关键信息安全基础建设等原因导致。这类事件并没有什么神秘可言,而一切都可以通过相当具体的调查任务来发现漏洞的成因。

在事件调查的过程中,通常需要法律顾问,通信团队,甚至是某些特殊用户的参与。安全工程师将需要进行各种单元测试,并避免将来出现类似的安全问题。

应对方案

每一个企业和组织都应该根据自己的情况来设计出合适的安全应急响应方案以及取证分析方案,否则历史很可能会重演。

信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

需要注意的是,如果不对自己的基础设施(例如代码和服务器等等)进行定期技术检测的话,你很可能会因为其中潜在的安全问题而陷入困境。

记者跟公司雇员间直接联系渐多

内幕泄露也成为了今年的一种趋势。今年很多公司都发现,越来越多的记者开始通过社交媒体平台或者加密聊天应用来跟企业雇员进行频繁的联系,而这些记者往往会直接跟他们询问一些非常“敏感”的信息,尤其是一些涉及到企业业务计划和新产品的相关内容。

这种情况跟前几年见到的有些不同,因为企业员工跟外部的这种“接触”变得越来越频繁,而且针对员工的垃圾邮件也越来越多,这将会大大增加员工泄露重要机密数据的可能性。

应对方案

企业和组织应该尽可能地限制这类“交流”的发生,并要求员工按照“无可奉告”政策来行事。如果不得已需要跟记者或媒体联系的话,请一定要构建一种可信的通信渠道。

这样做有两个好处:首先,这样可以从某种程度上降低数据泄露发生的可能性;其次,当数据泄露发生的时候,你可以迅速知道数据的泄漏源。

短信跟身份认证

目前,很多在线服务以及应用程序都允许用户通过短信来重置账户密码。如果攻击者知道了验证短信的内容,那你就危险了。

目前有多种方法可以帮助攻击者获取到目标用户的验证短信,而绝大多数方法都涉及到对通信运营商进行社会工程学技术。攻击者可以将电话号码转移到其他运营商,并拦截目标短信。或者说,他们可以注册同一运营商旗下的SIM卡,然后实现短信拦截。而他们的这些攻击技术同样适用于基于Web的短信。

应对方案

为了彻底解决这种安全问题,我们应该想办法用其他类型的认证方式来替换掉基于手机短信的验证方式。除此之外,在企业和组织的日常安全培训中,我们也应该培养员工对这方面的安全意识。

总结

今年的情况其实跟去年没多大区别,但这件事情本身就应该是一次“教训”。既然去年已经出现过类似的情况或者发生了类似的事情了,那为什么今年还会“历史重演”呢?因此,我们应该将注意力放在更加有效的风险管理方案身上。

如果我们更愿意和大家分享手中的信息和资源,我们将能够构建出更多的威胁模型,并将它们应用到各类场景之中。

参考来源:medium

FreeBuf编译

优炫软件为客户提供持续的各类技术支持服务、提供产品使用所必须的客户培训;通过多种渠道提供各种形式的技术支持服务;长期提供产品运维所需的技术咨询服务;设立方便、有效的售后渠道;制定上门提供技术服务的程序和规范。

有效的客户服务体系保障与客户沟通联系,配置专职服务管理人员和监督人员、专职服务工作人员、专业技术服务人员,24小时全方位立体化维护您的数据安全。

本文来自企鹅号 - 优炫软件媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏科技向令说

响铃:装机量竞赛已成过去时 移动浏览器下半场该怎么玩

移动浏览器在2G时代起就已经在功能机上大行其道。随着移动互联网深入,移动浏览器一边蓬勃发展,一边面临着“入口地位下降”的挑战,被APP取代的论调一度甚嚣尘上。

852
来自专栏程序员互动联盟

嵌入式做多长时间能达到月薪2W?

疑惑一 为什么Window8上面安装的编程软件运行不了? 很多初学者再群里问,再win8系统上安装一些编程软件,不能正常的运行,其实这也不难理解,毕竟win8是...

3286
来自专栏机器人网

机器人“球童”帮忙捡网球,再也不用担心练球后的收尾工作

最近,一款网球机器人“球童”登录国外知名众筹网站Kickstarter发起众筹,旨在帮忙收集球场周边散落的网球,让球员和教练将更多的时间放在练球或者享受打球的乐...

873
来自专栏安全领域

物联网:并不是什么新鲜事物

原文地址:https://internetofthingsagenda.techtarget.com/blog/IoT-Agenda/IoT-Not-as-ne...

35210
来自专栏企鹅号快讯

吸粉新玩法,小程序这样引流太厉害!

今年上半年网络最热的词非小程序莫属了!一时间,引爆网络,连“小程序”的百度搜索指数也蹭蹭蹭地网上飙升。 随着微信小程序功能的不断更新,小程序的生态也在慢慢地揭开...

2506
来自专栏安全领域

物联网用例 - 2016

原文地址:https://dzone.com/articles/real-world-problems-solved-by-iot

3629
来自专栏罗超频道

路由器不再吃灰,未来趋势如何?

正在第二次冲刺IPO的迅雷,近日以1000万元的价格收购了wangxin technologys,以增强自己的硬件能力。迅雷路由正在公测,且正酝酿年内推出两款...

3535
来自专栏腾讯数据中心

SuperNAP数据中心揭秘——下

五、柴发模块方面 整个SuperNAP8数据中心共有50个2.8MW的中压柴发,总计140MW备电。每个机房模块有6台柴发,5用1备设计,总计14MW的功率。采...

3478
来自专栏程序员互动联盟

现实生活中黑客攻击的时候是什么样子的,是电影里那样吗?

电影中只要不是纪实类型的,基本上都会为了艺术效果而拉伸镜头达成某种效果。真正黑客在攻克堡垒之前也会和平常的程序员一样会有各种苦恼的事情,黑客工作方向和程序员开发...

1294
来自专栏软件技术

格智科技细谈小程序对生活的改变

  不像h5仅仅只能展示和简单交互,无法实现与用户的深度沟通;  不像公众号花大量精力培养粉丝,却很难真正将线上流量进行转化。

1422

扫码关注云+社区