數據泄露事故往往防不勝防,意外或惡意攻擊都可能成為企業信息外流的渠道,從而導致業務損失。在這篇文章中,我將與妳分享壹些技巧,希望能幫助我的朋友們保護企業數據不被泄露。是潛伏在互聯網秘密角落的攻擊者更讓人擔心,還是對財務等敏感信息了如指掌的企業內部員工更讓人討厭?事實證明,這兩種情況都是IT部門避免的困難情況。根據InformationWeek網站發布的2012企業技術專家戰略安全調查,企業員工引發的安全事件的影響與國外網絡攻擊的影響基本相同。然而,根據威瑞森發布的2012數據泄露調查報告,內部安全威脅僅占攻擊總數的壹小部分——僅占4%。既然如此,為什麽專家們如此重視,甚至大驚小怪?原因很簡單。內部員工知道獲取公司重要信息的途徑和方法,對系統的熟悉程度使他們擁有幾十種防不勝防的盜竊手段。此外,他們攻擊的影響壹般更大。就在去年,美國銀行的壹名員工將數百名客戶的賬戶信息發送給了壹個惡意的人。後者利用這些數據開始從相關賬戶盜取資金,直接涉及的總金額達到數千萬美元——這還不算美國銀行事後為了安撫客戶而投入的巨額資金。內部員工對企業的威脅越來越嚴重,但IT部門往往仍專註於保護網絡邊界免受外部攻擊。時代變了。目前,值得關註的新型犯罪活動的暖巢在企業內部——內部網絡的惡意活動必須盡快得到遏制。顯然,在這樣的時代背景下,企業應該立即重新考慮現有的安全策略,將“內憂”的威脅放在與“外患”同等的關註層面。內部安全威脅的原因有很多,可能是有意的,也可能是無意的。但不管是什麽原因,大家通常都可以制定壹套完整的控制機制,將它帶來的危害降到最低。要解決企業內部的威脅,要從三個方面入手,即網絡、主機設備以及與數據生成、處理和遷移相關的人員。在網絡層面,控制系統必須能夠檢測和分析網絡流量內容,並在可能的情況下及時阻止敏感數據進入傳輸通道。在主機設備防護方面,項目相對更為傳統:反惡意軟件、加密機制、變更管理等安全控制手段都是不可或缺的有效解決方案。但歸根結底,與人相關的問題是最麻煩的問題:實施管理政策和培訓員工正確處理敏感數據。在接下來的文章中,我會和大家詳細談談這三個層次的具體實現過程。網絡——防死對於企業中的員工來說,最常見的兩種數據傳輸方式是電子郵件和網絡傳輸。無論是故意還是意外疏忽,數據泄露也取決於這兩種方式,而且在事故發生之初,具體原因往往不清楚。使用公司電子郵件帳戶的員工經常會無意中將敏感數據發送到錯誤的接收地址。與此同時,意圖竊取敏感信息的惡意人員很可能通過個人在線電子郵件帳戶或將信息上傳到在線文件共享網站來實現其不可告人的目的。因此,電子郵件和安全網關可謂是抵禦意外和惡意破壞的第壹道防線。這些網關通常用於檢查入站流量、垃圾郵件和惡意軟件,也可以合理地部署它們來監控出站流量。內部安全網關主要是指員工對網絡和郵件產生的流量,以及用作中繼設備或代理的線路和運營活動。BarracudaNetworks、Cisco IronPort、McAfee和WebSense等網關產品供應商都推出了自己獨特的數據丟失保護功能。因為流量必須經過網關,DLP(數據泄露保護)模塊會在這裏守護,了解企業內部是否存在敏感數據的泄露。這個保護模塊還會關註特定的數據類型,比如信用卡和社會安全號碼,用戶還可以通過創建分類標簽來定義哪些文件不應該向外界傳播。壹旦模塊檢測到這類數據有輸出行為,會立即提醒管理員。流量會立即被凍結,相關用戶也會收到預警提示。此外,這種潛在的違規行為將被系統地發送給安全部門、人力資源和用戶的直接上級。這壹嚴厲的紀律措施無疑將促使每個人在今後的工作中保持嚴肅和謹慎。除了網絡和電子郵件流量分析,基於網絡的DLP產品還可以監控協議和服務,包括即時消息、社交網站、點對點文件共享和文件傳輸協議。但是,面對加密信息,DLP等網站安全產品可以視而不見。如果用戶提前做好充分的準備,使用SSH/SCP或Tor等加密網絡傳輸方式發送數據,那麽這些內容將能夠順利繞過基於網絡的DLP機制。為了解決這個問題,DLP產品通常包括基於主機和基於存儲的DLP解決方案,我們將在後面討論。異常檢測系統是另壹種網絡級替代方案,Lancope和Riverbed Technology是該領域的行業領導者。這類產品會先創建壹套正常網絡活躍度的基準指標,然後將當前網絡活躍度與指標進行對比,出現偏差時會給出報警。比如網絡環境中的每壹臺電腦,平時都會與12臺其他電腦和服務器進行交互,每天產生的數據傳輸在100MB到200MB之間。如果某壹天壹臺電腦突然涉及20多個交互對象(包括電腦、服務器等系統),或者某個文件服務器或數據庫的傳輸量躍過500MB大關,這樣的異常活動會立即引起系統的註意,並實時向系統管理員發出警報。卡內基梅隆大學CERT內部威脅中心對幾種主要的內部攻擊的類型和特征進行了嚴格的定義,其中最明顯的是內部攻擊者通常在決定離開企業前的壹個月內進行惡意活動。他們將敏感數據從企業服務器下載到他們的工作站,然後通過發送電子郵件、刻錄CD或用USB閃存驅動器復制來保留副本。但針對以上,這種異常數據下載是可以被網絡異常檢測系統及時捕獲和跟蹤的,相關用戶的活動會被即時標記和監控。然而,網絡活動異常檢測系統不可能知道壹切。首先,它不會向我們發送明確的提示,例如,員工Bob似乎試圖竊取壹些敏感記錄。相反,IT部門將獲得應用程序和網絡異常活動的報告,而安全團隊將負責深入調查。換句話說,日誌分析、網絡活動審核、當事人取證都應該由完全不懂技術的家夥來做。這種各自為政的做法往往導致調查工作陷入僵局,巨大的安全威脅通常只能不了了之。IT和安全團隊必須準備大量的資金,投入時間和精力對異常活動檢測系統進行合理的調整,最終通過報告分析和調查得到有價值的安全提示。IT部門也可以使用專業工具來監控數據庫中的異常。這類工具的主要作用是掌握企業內員工的動向,因為數據庫可以說是珍貴商業信息的大本營。數據庫活動監控(DAM)產品的主要供應商包括Imperva和IBM,它們可以幫助管理員輕松了解用戶和數據庫服務器之間的交互。DAM產品運行在網絡或主機層,可以捕捉到很多異常活動,比如平時只訪問30到40條信息記錄的用戶,壹天之內突然訪問上千條記錄。不可忽視的主持人。筆記本電腦、平板設備等主機系統也要嚴格保護,盡量避免有意或無意的侵害。實現這壹點的最有效方法之壹是加密技術。在我們組織的安全策略調查中,64%的受訪者認為加密技術可以有效地保護企業免受安全威脅。加密的筆記本電腦、便攜式存儲介質和移動終端可以確保這些設備中的數據安全,即使在被盜之後也是如此。精心的部署和配置管理策略,將保證加密技術在各個方面都落實到位,強大的密碼分發策略和保護能力,不僅可以幫助我們不用擔心設備丟失後的數據泄露,還可以遠程清除設備中的信息。加密有許多應用,例如,當將文件復制到移動存儲介質、智能手機和電子郵件時,這項技術將使整個過程更加安全。這類產品如Credant公司的MobileGuardian和McAfee公司的TotalProtectionforData,在數據寫入移動設備和便攜式存儲介質時,可以主動加密數據。為了鼓勵加密技術的普及,壹些國家的數據違規法律允許企業在不通知相關客戶信息是否已加密的情況下丟失或竊取數據。安全要求特別嚴格的企業,往往會命令員工不要使用以u盤為代表的各種便攜式存儲介質。許多終端保護套件,如賽門鐵克的EndpointProtection和邁克菲的DLP,完全或部分禁止直接使用USB閃存驅動器。對敏感數據源(如文件服務器)采取適當的訪問和審計控制措施,也可以有效防止內部員工的惡意行為。壹種方案是在基本文件和文件夾級別開發審計。這樣管理員可以跟蹤用戶的訪問行為,實時進行權限提升、軟件安裝許可等操作。雖然這聽起來並不難,但挑戰在於大多數企業都不知道他們的敏感數據存儲在哪裏。如果不能掌握這些基本信息,那麽文件和文件夾的審核機制基本上就沒用了。我們需要做的第壹步是確定敏感數據的存儲位置。DLP產品中廣泛加入了數據枚舉功能,可以有效幫助IT部門掌握社保號、病歷、信用卡數據的存儲位置。位置確定後,我們需要對數據進行合並,並關聯相應的用戶權限;下壹步是通過集中記錄或安全信息和事件管理(SIEM)工具實現文件和文件夾審核流程。正確配置的提示系統應該在訪問行為異常或外部用戶獲得敏感信息時及時報警。另壹個重要步驟是監控工作站和服務器的配置變化,並在必要時發出警報。突然的大規模變化,很可能說明壹些惡意的人正在或者準備侵犯我們的敏感數據。在準備階段,他們首先要賦予自己的工作站和管理員壹樣的高權限,並增加新的硬件來復制數據,或者通過清空或禁用日誌系統來掩蓋自己的犯罪活動。SIEM和專業的變革管理軟件可以及時發現此類活動,並提醒管理者。這方面我推薦Tripwire公司的PolicyManager和NetIQ公司的SecureConfigurationManager。使用變更和配置管理工具的另壹個優點是,它們通常具有工作流管理功能,可以處理和批準工作流內容,並根據記錄恢復配置變更。最後,IT部門必須定期記錄安全信息,檢查日誌,並根據統計結果制定下壹步的工作重點。這種工作雖然枯燥乏味,但意義重大。我們不妨回憶壹下2011威瑞森數據泄露調查報告的結論:“幾乎每壹次數據泄露事故,在真正爆發之前,都有很多機會讓受害者及時發現並糾正這些問題。但是,這些重要的記錄,要麽根本不看,要麽即使看了,也沒有融入到實際行動中。”在威瑞森發布的2012報告中,這壹趨勢仍在繼續:調查中84%的受害者完全不知道那些危害極大的數據泄露事故已經在他們的日常記錄中留下了蛛絲馬跡。其實只要仔細檢查現有的日誌系統,這種內部攻擊完全可以扼殺在搖籃裏。正是因為這個原因,威瑞森建議大型企業“仔細監控和深入分析事件日誌”,並將這壹建議放在年度座右銘的醒目位置。人為因素——建立規則的研究表明,內部惡意攻擊大多來自於對企業不滿或者即將離開企業另謀高就的員工。另外,由於沒有恩怨的員工很可能陷入社交網絡等網站的釣魚攻擊,因為壹般來說,普通人並不了解惡意鏈接的危害和特點。人的因素是安全工作中最不可逾越的鴻溝。提高全民意識,首先要建立壹套定義準確、易於理解的管理政策。遺憾的是,根據我對當前主流安全架構和策略內容的調查,大多數企業都沒有做好這壹點。保單條件又臭又長,字裏行間極其晦澀,讓大多數普通員工無法理解甚至讀懂這樣的制度條款。因此,員工們很快就把這項政策拋在了腦後。不是他們不想遵守,而是他們已經完全看不懂,甚至看不懂這篇長篇大論。在創建管理策略時,不要簡單地列出需要檢查的內容或規章制度。相反,我們應該推斷員工在日常工作中可能遇到的情況,並在此基礎上為他們提供操作指導,明確列出各種嚴禁的行為。結合背景調查、數據處理和分類、企業資源使用許可、安全防範、培訓和政策制定,力爭拿出壹套真正能服務實際的指導性文件。組織詳細的數據分類和實踐方案,明確規定哪些數據允許存儲在哪些系統中,數據應該如何通過網絡傳輸,各種加密要求以及數據是否可以存儲在移動設備和便攜式存儲介質中。經常處理敏感數據和系統的員工應嚴格按照數據分類政策的要求保存信息,並定期更新。如果我們希望員工有效地遵守政策要求,培訓也是必不可少的。盡可能利用現有資源幫助企業建立培訓計劃,包括系統網絡安全協會發布的安全工作大綱和OffensiveSecurity團隊制定的企業安全意識培訓計劃。此外,InformationWeek網站發布的報告《安全:用戶須知》也包含了很多實用技巧,員工不妨仔細閱讀,以指導實際業務。值得壹提的是,物理設備的安全性也是壹個經常被忽視的關鍵因素。企業往往把所有的精力都花在制定管理機制上,卻沒有想到如何防止員工盜竊公共設備。妳不妨在敏感位置部署監控系統,限制員工的出入行為,最大限度地減少盜竊事件的發生。金誠湯池,準備從根本上防範內部威脅,需要嚴查技術漏洞,長期監控員工行為。做好這兩件事並不容易,尤其是內部員工出於工作目的訪問敏感數據的時候。解決問題的關鍵是掌握攻擊過程,了解潛在動機,在最佳水平部署控制方案。妳不妨先指定最需要保護的重要信息,為它們建立壹個堅不可摧的防禦機制,然後借此機會總結經驗,酌情擴展到網絡和主機系統的控制上。那就不要小看人的因素。制定易於員工理解和遵守的管理政策,培養員工良好的安全生產習慣,時刻以警惕的目光關註用戶活動的每壹個細節。網絡、主機、人的因素被分級方案分別控制,這是事實,但離我們還很遠。實現理想的過程總是坎坷而漫長的。正如威瑞森在其2012年度報告(這是連續第三年)中所說,幾乎所有的內部違規行為都是“有組織、有預謀的結果”如果我們真的想牢牢控制內部威脅,我們可能必須拿出同樣的“有組織、有預謀”的計劃來應對它們。
上一篇:要求:與信用卡客戶經理面談下一篇:山東省農村信用社手機銀行怎麽用