从今年的安全泄露事故学到的6个教训

点击标题下「大数据文摘」可快捷关注

根据开放安全基金会表示，迄今为止最严重的10起安全泄露事故中，3起事故发生在今年。这包括NYC Taxi & Limousine Commission的 1.73亿条记录泄露事故，易趣的1.45亿条记录泄露事故以及韩国信用局的1.04亿条记录泄露事故。而这还没有算上据称俄罗斯黑客窃取的12亿用户名和密码，或者最近从韩国游戏网站发现被盗的2.2亿条记录。

根据开放安全基金会和Risk Based Security公司表示，2014年正在取代2013年成为泄露数据量最高的一年。

如果我们能够从错误中吸取教训，那么今年应该会成为安全教育标志性的一年。

下面是一些经验教训：

1. 是时候认真考虑人员配备问题

在信息安全最大的安全漏洞可能根本不是技术方面的问题。“在2014年，大约40%的安全职位为空置，”惠普企业安全产品首席技术官Jacob West表示，“并且，当你看看高级安全职位，空置率达到近49%。无论我们使用什么样的技术，无论我们如何努力保护系统，如果我们的队伍人手不够，我们将会看到我们的对手取得成功。”

West引用的数据来自于今年春天由惠普赞助Ponemon研究所发布的研究报告，其中显示，70%的受访者表示其安全部门人员不足。主要的原因是什么?根据43%的受访者表示，原因在于企业未提供有竞争力的薪酬。

根据5月份由IBM赞助的另一个Ponemon研究显示，数据泄露事故的平均总成本上升了15%，达到350万美元，而包含敏感信息和机密信息的每条丢失或被盗记录的平均成本增长超过9%，从2013年的136美元增长到今年的145美元。对此，企业可能要重新考虑其安全人员预算了。

2.了解你的代码

在过去10年中，很多企业都采用了软件安全最佳做法，在基础层面构建安全性。然而，这仅仅是对于他们自己编写的代码。

“今年暴露出的问题之一是，企业并没有自己编写大部分软件，Shellshock和Heartbleed等漏洞更是说明了这一点，”惠普的West表示，“软件其实是拼装的，而不是编写的。我们拿来商业组件和开源组件，然后在上面构建一些专有性。”

这样做的结果是，有些企业花了几个星期，甚至几个月，试图整理其系统，以及弄清楚他们在哪里使用了易受攻击版本的SSL。

企业需要先彻底了解他们正在使用什么应用程序，他们在哪里以及如何使用这些程序，以及其相对重要性。自动扫描系统在这方面可能有所帮助，但最终，这还是需要人的努力。

3.渗透测试是谎言

渗透测试是安全审计的组成部分。事实上，支付卡行业数据安全标准中有这一要求。渗透测试公司Rook Security首席执行官J.J.Thompson表示：“遭受过数据泄露事故的每个公司都有渗透测试报告称攻击者无法获取数据，或者，如果他们可以得到，但并不重要的数据。”

那么，为什么渗透测试不能暴露潜在安全漏洞，让公司能够解决这些问题呢?

“这很简单，”Thompson表示，“渗透测试报告一般都是谎言。”

或者换句话说，与真正的攻击者相比，渗透测试人员能做的和不能做的更加有限制。

“你无法冒充别人，因为这并不是我们的测试方式，”Thompson表示，“你无法建立一个与Facebook个人资料相关的钓鱼网站，因为这太离谱。”真正的攻击者因为入侵一家公司，已经触犯了法律，他们可能并不担心触犯其他法律。而白帽安全公司则不太愿意通过跟踪其客户或供应商系统而入侵一家公司。或者冒充政府官员，或损坏设备，或劫持企业员工的朋友或家庭成员的社交媒体账号来入侵公司。

4.物理安全遇见网络安全

最近攻击团伙瞄准了美国东海岸的一家公司(+微信关注网络世界)，他们绕过防火墙，提取其领导层的数据，并获取即将举行的活动的信息，以及这些活动将要使用的设施。

John Cohen表示：“当局认为，这是该组织前期规划工作的一部分。”他此前是美国国土安全局的反恐协调员兼情报和分析代理副秘书，现在是安全供应商Encryptics公司首席战略顾问。

Cohen称：“这里同时涉及了物理安全和网络安全。”这也可以反过来进行，通过攻击设备物理地入侵来进行数字盗窃。企业安全必须更加全面。闯入办公现场的盗贼可能一直在寻找易于突破的电子设备，或者他们可以部署键盘记录器。

5. 做好失败计划，第一部分

如果你肯定地知道攻击者将要入侵你的系统，你的做法会有什么不同?在今年的高曝光率数据泄露事故后，很多人都在问自己这个问题，并开始以不同的角度思考安全问题。

“在我看来，以及其他人看来，这是心态的转变，”CompTIA的IT安全社区主席兼Reflexion Networks公司产品管理副总裁Scott Barlow，“企业都假设他们的数据将被泄露，或者已经被泄露，并且他们正在采取措施。”

这些步骤包括对员工桌面的数据、文件服务器内的数据甚至电子邮件进行加密。

同时，名为“标记化”的程序取代了包含随机生成代码或令牌的银行卡数字，在这些数字离开POS机之前。只有付款处理器知道真正的数字，零售商获得令牌，而这对于入侵系统的攻击者毫无价值。

而这让支付处理器成为目标，但事实上，它们一直都是攻击目标。FirstDat公司网络安全解决方案总经理兼高级副总裁Paul Kleinschnitz表示：“攻击者已经瞄上我们。”该公司负责美国40%的支付处理。与此同时，Target和Home Depots将不会再面临失去支付数据的风险。Kleinschnitz表示：“我们正在帮助商家减小这种风险。”

6. 做好失败计划，第二部分

如果摩根大通能够被攻击，那么，每个公司都容易受到攻击。Weisbrod Matteis & Copley 律师事务所计算机犯罪专业律师Peter Toren表示：“即使你部署了最好的安全措施，你仍然可能被攻击。”Toren曾在司法部计算机犯罪部门担任了8年的联邦检察官。

企业如何应对这种数据泄露事故可以带来很大的不同。在去年年底，Target公司遭受重大数据[注]泄露事故，导致4000万支付卡账户泄露，因为在处理这个事故时所面临的问题，该公司的首席执行官和首席技术官都失去了他们的工作。

企业需要提前做好应对泄露事故的准备工作，并早在泄露事故发生之前做好准备工作。

“他们需要有一个计划，并提前与公关公司进行合作，”他表示，“而不是在事故后才联系公关公司。”