专栏首页大数据文摘从今年的安全泄露事故学到的6个教训

从今年的安全泄露事故学到的6个教训

点击标题下「大数据文摘」可快捷关注

根据开放安全基金会表示,迄今为止最严重的10起安全泄露事故中,3起事故发生在今年。这包括NYC Taxi & Limousine Commission的 1.73亿条记录泄露事故,易趣的1.45亿条记录泄露事故以及韩国信用局的1.04亿条记录泄露事故。而这还没有算上据称俄罗斯黑客窃取的12亿用户名和密码,或者最近从韩国游戏网站发现被盗的2.2亿条记录。

根据开放安全基金会和Risk Based Security公司表示,2014年正在取代2013年成为泄露数据量最高的一年。

如果我们能够从错误中吸取教训,那么今年应该会成为安全教育标志性的一年。

下面是一些经验教训:

1. 是时候认真考虑人员配备问题

在信息安全最大的安全漏洞可能根本不是技术方面的问题。“在2014年,大约40%的安全职位为空置,”惠普企业安全产品首席技术官Jacob West表示,“并且,当你看看高级安全职位,空置率达到近49%。无论我们使用什么样的技术,无论我们如何努力保护系统,如果我们的队伍人手不够,我们将会看到我们的对手取得成功。”

West引用的数据来自于今年春天由惠普赞助Ponemon研究所发布的研究报告,其中显示,70%的受访者表示其安全部门人员不足。主要的原因是什么?根据43%的受访者表示,原因在于企业未提供有竞争力的薪酬。

根据5月份由IBM赞助的另一个Ponemon研究显示,数据泄露事故的平均总成本上升了15%,达到350万美元,而包含敏感信息和机密信息的每条丢失或被盗记录的平均成本增长超过9%,从2013年的136美元增长到今年的145美元。对此,企业可能要重新考虑其安全人员预算了。

2.了解你的代码

在过去10年中,很多企业都采用了软件安全最佳做法,在基础层面构建安全性。然而,这仅仅是对于他们自己编写的代码。

“今年暴露出的问题之一是,企业并没有自己编写大部分软件,Shellshock和Heartbleed等漏洞更是说明了这一点,”惠普的West表示,“软件其实是拼装的,而不是编写的。我们拿来商业组件和开源组件,然后在上面构建一些专有性。”

这样做的结果是,有些企业花了几个星期,甚至几个月,试图整理其系统,以及弄清楚他们在哪里使用了易受攻击版本的SSL。

企业需要先彻底了解他们正在使用什么应用程序,他们在哪里以及如何使用这些程序,以及其相对重要性。自动扫描系统在这方面可能有所帮助,但最终,这还是需要人的努力。

3.渗透测试是谎言

渗透测试是安全审计的组成部分。事实上,支付卡行业数据安全标准中有这一要求。渗透测试公司Rook Security首席执行官J.J.Thompson表示:“遭受过数据泄露事故的每个公司都有渗透测试报告称攻击者无法获取数据,或者,如果他们可以得到,但并不重要的数据。”

那么,为什么渗透测试不能暴露潜在安全漏洞,让公司能够解决这些问题呢?

“这很简单,”Thompson表示,“渗透测试报告一般都是谎言。”

或者换句话说,与真正的攻击者相比,渗透测试人员能做的和不能做的更加有限制。

“你无法冒充别人,因为这并不是我们的测试方式,”Thompson表示,“你无法建立一个与Facebook个人资料相关的钓鱼网站,因为这太离谱。”真正的攻击者因为入侵一家公司,已经触犯了法律,他们可能并不担心触犯其他法律。而白帽安全公司则不太愿意通过跟踪其客户或供应商系统而入侵一家公司。或者冒充政府官员,或损坏设备,或劫持企业员工的朋友或家庭成员的社交媒体账号来入侵公司。

4.物理安全遇见网络安全

最近攻击团伙瞄准了美国东海岸的一家公司(+微信关注网络世界),他们绕过防火墙,提取其领导层的数据,并获取即将举行的活动的信息,以及这些活动将要使用的设施。

John Cohen表示:“当局认为,这是该组织前期规划工作的一部分。”他此前是美国国土安全局的反恐协调员兼情报和分析代理副秘书,现在是安全供应商Encryptics公司首席战略顾问。

Cohen称:“这里同时涉及了物理安全和网络安全。”这也可以反过来进行,通过攻击设备物理地入侵来进行数字盗窃。企业安全必须更加全面。闯入办公现场的盗贼可能一直在寻找易于突破的电子设备,或者他们可以部署键盘记录器。

5. 做好失败计划,第一部分

如果你肯定地知道攻击者将要入侵你的系统,你的做法会有什么不同?在今年的高曝光率数据泄露事故后,很多人都在问自己这个问题,并开始以不同的角度思考安全问题。

“在我看来,以及其他人看来,这是心态的转变,”CompTIA的IT安全社区主席兼Reflexion Networks公司产品管理副总裁Scott Barlow,“企业都假设他们的数据将被泄露,或者已经被泄露,并且他们正在采取措施。”

这些步骤包括对员工桌面的数据、文件服务器内的数据甚至电子邮件进行加密。

同时,名为“标记化”的程序取代了包含随机生成代码或令牌的银行卡数字,在这些数字离开POS机之前。只有付款处理器知道真正的数字,零售商获得令牌,而这对于入侵系统的攻击者毫无价值。

而这让支付处理器成为目标,但事实上,它们一直都是攻击目标。FirstDat公司网络安全解决方案总经理兼高级副总裁Paul Kleinschnitz表示:“攻击者已经瞄上我们。”该公司负责美国40%的支付处理。与此同时,Target和Home Depots将不会再面临失去支付数据的风险。Kleinschnitz表示:“我们正在帮助商家减小这种风险。”

6. 做好失败计划,第二部分

如果摩根大通能够被攻击,那么,每个公司都容易受到攻击。Weisbrod Matteis & Copley 律师事务所计算机犯罪专业律师Peter Toren表示:“即使你部署了最好的安全措施,你仍然可能被攻击。”Toren曾在司法部计算机犯罪部门担任了8年的联邦检察官。

企业如何应对这种数据泄露事故可以带来很大的不同。在去年年底,Target公司遭受重大数据[注]泄露事故,导致4000万支付卡账户泄露,因为在处理这个事故时所面临的问题,该公司的首席执行官和首席技术官都失去了他们的工作。

企业需要提前做好应对泄露事故的准备工作,并早在泄露事故发生之前做好准备工作。

“他们需要有一个计划,并提前与公关公司进行合作,”他表示,“而不是在事故后才联系公关公司。”

本文分享自微信公众号 - 大数据文摘(BigDataDigest)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-11-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 药物研发中的大数据

    大数据文摘
  • 数据团队「隐形守护者」!从被动应对到资源输出,腾讯安全20年成长记

    本文为清华大学大数据研究中心联合大数据文摘发起的年度白皮书《顶级数据团队建设全景报告》系列专访的第三篇内容。《报告》囊括专家访谈、问卷、网络数据分析,力求为行业...

    大数据文摘
  • 用递归神经网络,撰写一份特朗普式发言稿!

    特朗普充满个人特色的语言风格让作者产生了兴趣,如果把他的推文和演讲稿都用于训练数据,再运用递归神经网络能否生成一份有特式风格的发言稿呢?结论是,如果数据和算力足...

    大数据文摘
  • LeetCode 94. Binary Tree Inorder Traversal题目代码

    desperate633
  • LeetCode144.二叉树的前序遍历&94.二叉树的中序遍历&145.二叉树的后序遍历

     后序遍历的非递归代码得说一下,首先后序遍历得顺序是左右中,我们知道先序遍历的压栈顺序是先压右再压左,这样出来的顺序就是中左右,如果把先序遍历的压栈顺序稍微变一...

    mathor
  • 2017 JavaScript 开发者的学习图谱 | 码云周刊第 25 期

    码云项目推荐 1前端框架类 1. 基于 Vue.js 的 UI 组件库 iView ? 项目简介:iView 是一套基于 Vue.js 的 UI 组件库,主要服...

    码云Gitee
  • 科技巨头们的并购:SAP最谨慎Oracle最地土豪

    如果你是一个创业者,你就要在舞台上飙出你的高音。 创业者手心冒汗的站在演讲台上,盯着一桌子有能力为伟大梦想注入活力又或者是会枪决梦想的人。做完一个自信的介绍...

    人称T客
  • 月活近 5 亿,微博是如何做业务安全的?

    想弄清这个问题,我们要明白:作为社交媒体平台,安全对微博意味着什么?或者说,为什么安全对微博很重要?

    Java帮帮
  • Spring源码解析——如何阅读源码

    最近没什么实质性的工作,正好有点时间,就想学学别人的代码。也看过一点源码,算是有了点阅读的经验,于是下定决心看下spring这种大型的项目的源码,学学它的设...

    用户1154259
  • React多页面应用1(webpack4 开发环境搭建,包括热更新,api转发等)

    本教程总共9篇,每日更新一篇,请关注我们!你可以进入历史消息查看以往文章,也敬请期待我们的新文章! 1、React多页面应用1(webpack4 开发环境搭建...

    前端人人

扫码关注云+社区

领取腾讯云代金券