數據泄露事故往往令人防不勝防,意外或者惡意攻擊都能成為企業信息流出的渠道,進而導致商務損失。在本文中我將與大家分享壹些技巧,希望能在保護企業數據免遭泄露方面給朋友們帶來幫助。 潛伏在互聯網隱秘角落中的攻擊者更令人擔憂,還是對財務等敏感信息了如指掌的企業內部員工更惹人煩惱?事實證明,兩者都是IT部門避之而唯恐不速的難纏情況。根據InformationWeek網站發布的2012企業技術專家策略安全調查顯示,由企業雇員引發的安全事故與外來網絡攻擊在影響上已經基本持平。 然而由Verizon發布的2012數據泄露調查報告所認為,內部安全威脅只占攻擊總體數量的壹小部分——只有4%。既然如此,為什麽專家們對它如此重視,甚至有點大驚小怪呢?原因很簡單,內部員工了解訪問公司重要信息的途徑和手段,對系統情況的熟悉令他們擁有數十種難以防範的竊取措施。此外,他們的攻擊造成的影響也普遍更大。就在去年,美國銀行的壹位員工將數百位客戶的賬戶信息發送到了某位惡意人士手中。而後者利用這些數據開始從相關賬戶中盜竊資金,直接涉案總金額達上千萬美元——這還不算美國銀行事後為了安撫客戶而額外投入的巨額款項。 內部員工給企業帶來的威脅正愈發嚴峻,但IT部門往往仍然把保護重點放在保護網絡邊界免受外部攻擊活動侵擾的工作上。時代已經不同了,目前值得關註的新型犯罪活動溫巢就在企業內部——內部網絡惡意活動必須盡早得到扼制。顯然,在這樣的時代背景下,企業應該立即重新考量自己的現有安全戰略,並將“內憂”威脅放在與“外患”同等重要的關註層面上。 內部安全威脅發生的原因多種多樣,既可能是有意為之、也可能是無心之失。但無論起因如何,大家通常都可以制定壹套完備的控制機制最大程度減輕其帶來的危害。要解決企業內部威脅,我們應該從三個方面分別入手,即:網絡、主機設備以及那些與數據生成、處理以及遷移相關的工作人員。 在網絡層面,控制系統必須能夠檢測並分析網絡流量內容,並在可能的情況下及時阻止敏感數據進入傳輸通道。而在主機設備保護方面,項目則相對更加傳統:反惡意軟件、加密機制、變更管理以及其它安全控制手段都是不可或缺的有效方案。不過歸根結底,果然與人相關的問題才是最麻煩的問題:落實管理政策、對員工進行妥善處理敏感數據方面的培訓。在下面的文章中,我將與大家詳細聊聊這三大層面的具體實施流程。 網絡——嚴防死守 對於企業內部員工而言,最常見的兩種數據傳輸方式要數電子郵件及網絡發送。而無論是蓄意而為還是意外過失,數據泄露的發生同樣要依托這兩種途徑,而且在事故出現之初,具體原因往往並不明朗。使用企業電子郵件賬戶的員工們往往會在無意之中將敏感數據發送到錯誤的接收地址。與此同時,意圖竊取敏感信息的惡意人士也很可能借助個人網絡郵箱賬戶或者將信息上傳至網絡文件***享站點的方式實現自己不可告人的目的。 因此,電子郵件與安全網關可謂抵抗意外事件與惡意破壞的第壹道防線。這些網關通常用於檢查入站流量、垃圾郵件以及惡意軟件,同時它們也可以通過合理部署來實現出站流量監控。內部安全網關涵蓋的範疇主要指員工所生成的通往網絡及郵件的流量,以及充當中繼裝置或代理之用的線路及操作活動。 諸如BarracudaNetworks、思科IronPort、McAfee以及WebSense等大版網關類產品供應商都推出了各具特色的數據丟失保護功能。由於流量的傳遞必然要通過網關,因此DLP(即數據泄露防護)模塊會鎮守在此,了解企業內部的敏感數據是否存在外泄現象。這套保護模塊同樣會關註特定的數據類型,例如信用卡以及社保號碼等內容,用戶還可以通過創建分類標簽界定哪些文件不應該由企業網絡傳播到外界環境。壹旦模塊檢測到這類數據有輸出行為,管理員會立即得到提醒。流量會立即被凍結,同時相關用戶也將收到警告提示。不僅如此,這類潛在的違規行為也會被系統發送到企業中的安全部門、人力資源以及該用戶的頂頭上司處,這種嚴厲的懲戒措施無疑會敦促大家在今後的工作中始終保持嚴肅謹慎的態度。 除了網絡與電子郵件流量分析,基於網絡的DLP產品還能夠監控包括即時通訊、社交網站、點對點文件***享及文件傳輸協議在內的協議與服務。 然而,在經過加密的信息面前,DLP及其它網站安全產品可就抓瞎了。如果用戶事先做過充足的準備,利用像SSH/SCP或者Tor這樣的加密網絡傳輸方式發送數據,那麽這些內容將能夠順利繞過基於網絡的DLP機制。為了解決這壹難題,DLP產品通常還包含基於主機以及基於存儲設備的DLP方案,這壹點我們以後再進行討論。 異常檢測系統是另壹種網絡層面的備選方案,Lancope公司與Riverbed技術公司堪稱這壹領域的業界翹楚。此類產品會首先創建出壹套正常網絡活動的基準指標,再將當前網絡活動與指標相比照,並在發生偏離時發出警報。舉例來說,網絡環境中的每壹臺計算機通常會與12臺其它計算機及服務器產生交互,且每天產生的數據傳輸量在100MB到200MB之間。如果突然某壹天計算機涉及到的交互對象超過了20臺(包括計算機、服務器及其它系統在內),或者是針對某文件服務器或數據庫的傳輸量壹躍超過500MB大關,這樣的異常活動會立即引起系統的關註,並實時向系統管理員發送警報。 卡內基梅隆大學的CERT內部威脅中心已經嚴格界定了幾種主要內部攻擊的類型與特征,其中最明顯的壹點是內部攻擊者通常會在決定離開企業的前壹個月內開展惡意活動。他們從企業服務器端將敏感數據下載到自己的工作站中,然後通過發送郵件、燒錄光盤或者使用U盤拷貝等方式保留副本。不過與前文響應的是,這種超出常規的數據下載量可以及時被網絡異常檢測系統捕捉並追蹤到,同時相關用戶的活動將立即被標記並受到監視。 然而,網絡活動異常檢測系統同樣無法全知全能。首先來說,它不會向我們發送內容明確的提示信息,例如:員工Bob似乎在嘗試竊取某些敏感記錄。恰恰相反,IT部門會得到壹份關於應用程序及網絡異常活動的報告,而安保團隊則負責深入調查。也就是說,日誌分析、網絡活動審查以及當事人取證等工作要交由完全不懂技術的家夥來完成。這種分別處理的方式往往令調查工作陷入僵局,巨大的安全威脅通常也只能不了了之。IT與安全團隊必須籌備大量資金並投入時間與精力,才能對異常活動檢測系統做出合理調整,最終通過報告分析及調查得出有價值的安全提示信息。 IT部門同樣可以利用專業工具監控數據庫中的異常現象。這類工具的主要作用是掌握企業內部員工的動向,因為數據庫可以說是珍貴商務信息的大本營。數據庫活動監控(簡稱DAM)產品的主要供應商包括Imperva以及IBM等,它們能夠幫助管理員輕松了解用戶與數據庫服務器之間的交互行為。DAM產品運行於網絡或主機層,可以捕捉到許多異常活動,例如平時只訪問30到40條信息記錄的用戶突然在壹天之間訪問了上千條記錄等。 主機——不容疏漏 對於以筆記本電腦與平板設備為代表的主機系統同樣應該得到嚴格保護,力圖最大程度避免蓄意或意外違規情況的發生。要實現這壹點,最有效的途徑之壹就是加密技術。在我們組織的安全戰略調查當中,有64%的受訪者認為加密技術能夠有效保護企業免受安全威脅的侵擾。經過加密的筆記本電腦、便攜式存儲媒介以及移動終端可以令這些設備在失竊之後仍然保證其中的資料安全。精心部署並配置得出的管理政策會保證加密技術在方方面面落實到位,而強大的密碼分配策略及保護能力不僅會幫助我們在設備丟失之後不必擔憂數據泄露,更能夠以遠程方式清除設備中的信息。 加密的應用領域還有很多,例如在將文件復制到可移動存儲媒介、智能手機以及電子郵件中時,這項技術將令整個過程更加安全。以Credant公司的MobileGuardian以及McAfee公司的TotalProtectionforData為代表的此類產品能夠在數據被寫入移動設備及便攜存儲媒介時主動進行加密。出於對鼓勵加密技術推廣的考量,某些國家的數據違規法令允許企業在數據丟失或被盜時無需通知相關客戶該信息是否已被加密。 在安全要求方面特別嚴格的企業往往勒令禁止員工使用以U盤為代表的各種便攜式存儲媒介。許多終端保護套件,例如賽門鐵克的EndpointProtection以及McAfee的DLP,都會全面或部分禁止U盤的直接使用。 為文件服務器這樣的敏感數據源配備適當的訪問及審計控制措施也能夠有效阻止來自內部員工的惡意行為。方案之壹開發基礎文件及文件夾層面的審計,通過這種方式管理員就可以追蹤用戶的訪問行為,並實時進行權限提升及軟件安裝許可等操作。盡管這聽起來並不困難,但其中的挑戰在於,大多數企業根本不了解自己的敏感數據保存在何處。如果連這些基本情況都未能掌握,那麽文件及文件夾審計機制基本上也就形同虛設了。 我們要做的第壹步是確定敏感數據的存儲位置。DLP產品中已經普遍加入了數據枚舉功能,這能夠有效幫助IT部門掌握社保號碼、醫療記錄以及信用卡數據等信息的存儲位置。位置確定之後,我們要將數據進行合並,並與相應的用戶權限相關聯;接下來要做的是通過集中記錄或者安全信息及事件管理(簡稱SIEM)工具實現文件及文件夾審計流程。經過正確配置的提示系統應該會在訪問行為發生異常或者外部用戶獲得訪問敏感信息訪問權限時及時發出警報。 另壹個重要步驟是監控工作站及服務器的配置變更,並在必要時發出警報。突如其來的大規模變更很可能表明某些惡意人士正在或準備侵犯我們的敏感數據。在準備階段,他們肯定要首先為自己的工作站賦予與管理員等同的高權限,並添加新硬件以進行數據拷貝,或者通過清空或禁用日誌系統來掩蓋自己的犯罪活動。 SIEM與專業變更管理軟件能夠及時發現這類活動並提醒管理者,在這方面我推薦Tripwire公司的PolicyManager以及NetIQ公司的SecureConfigurationManager。使用變更及配置管理工具的另壹大好處在於,它們通常還擁有工作流管理功能,能夠對工作流內容進行處理、核準並根據記錄恢復配置變更。 最後,IT部門必須定期記錄安全信息、查看日誌並依照數據統計結果制定下壹步的工作重點。這類工作雖然枯燥繁瑣,但意義相當重大。我們不妨回想壹下2011年Verizon數據泄露調查報告所給出的結論:“幾乎每壹次數據泄露事故在真正爆發之前,受害者都有很多機會發現並及時糾正這些問題。但這些重要的記錄內容要麽幹脆沒人看,要麽看過就算,而沒有被融入實際行動。”而在Verizon發布的2012年報告中,這種趨勢仍然在持續:調查中84%的受害者根本不知道那些危害極大的數據泄露事故早已在日常記錄中留下了蛛絲馬跡。事實上只要對現有日誌記錄系統進行認真檢查,這類內部攻擊完全可以被扼殺在搖籃中。正是出於這種原因,Verizon公司才建議大型企業“認真監控並深入剖析事件日誌”,並將這條建議放在年度箴言的醒目位置。 人為因素——建立規則 研究表明,大部分內部惡意攻擊來自那些對企業心懷不滿,或者即將離開企業另謀高就的員工。而除此之外,既然是那些沒有怨氣的雇員,也很可能栽在社交網絡及其它網站上遭遇釣魚攻擊,因為壹般來說普通群眾對惡意鏈接的危害及特征並不了解。人為因素,才是安全工作最難以逾越的壹道鴻溝。 要提高全民防範意識,首先應該建立壹套定義準確、易於理解的管理政策。遺憾的是,根據我對當前主流安全架構及政策內容的調查,大多數企業都沒能做好這壹點。政策條件又臭又長,字裏行間極盡晦澀之能事,這使得大多數普通員工根本無法理解甚至閱讀此類制度條款。於是乎,員工很快將政策拋諸腦後。他們並不是不想遵守,而是完全沒能理解甚至是讀完這種長篇大論。 不要在創建管理政策時簡單地將需要檢查的內容或者規章條款列成壹份清單。相反,我們應該推想員工在日常工作中可能遇到的情況,並以此為基礎為他們提供操作性較強的指導意見,同時明確列舉嚴格禁止的各類行為。將背景調查、數據處理及分類、企業資源使用許可、安全註意事項及培訓與政策制定相結合,力爭拿出壹套能夠真正服務於實際的指導性文件。 組織出詳盡的數據分類及實踐方案,明確規定哪類數據允許被存儲在哪套系統當中、數據應該如何通過網絡加以傳輸、各種加密要求以及數據是否能夠存儲在移動設備及便攜式存儲媒介之中。經常與敏感數據及系統打交道的員工則應該嚴格按照數據分類政策的要求保存信息,並定期進行更新。 如果我們希望員工能夠切實遵循政策要求,培訓工作也是必不可少的。盡可能利用現有資源幫助企業建立培訓計劃,包括系統網絡安全協會出臺的安全工作大綱以及OffensiveSecurity團隊制定的企業安全意識培訓項目。此外,InformationWeek網站發布的《安全:用戶須知》報告中也包含了不少實用技巧,不妨讓員工仔細閱讀以指導實際業務。 值得壹提的是,物理設備安全也是常常被忽視的關鍵因素。企業往往在制定管理機制方面花盡心思,卻沒有想到如何避免員工盜竊公有設備。大家不妨在敏感位置部署監控系統,並限制員工的訪問行為,以最大程度減少盜竊活動的發生。 金城湯池,嚴陣以待 要從根本上防止內部威脅,我們需要嚴查技術漏洞、長期監控員工行為。要做好這兩點很不容易,尤其是在內部員工出於工作目的訪問敏感數據時。解決問題的關鍵在於掌握攻擊流程、了解潛在動機並將控制方案部署在效果最好的層面。大家不妨先指定那些最需要保護的重要信息,為它們建立堅不可摧的防禦機制,再以此為契機總結經驗,把心得酌情推廣到對網絡及主機系統的控制中去。 再就是千萬別小看了人為因素。制定便於員工理解並遵守的管理政策,培養他們良好的安全生產習慣,同時始終以警惕的目光關註用戶活動中的每個細節。 利用分層方案對網絡、主機以及人為因素進行分別控制,這是真理,卻離我們很遠。實現理想的過程永遠坎坷而漫長。正如Verizon公司在2012年度報告(這也是該公司連續第三年發布的報告)中所言,幾乎所有內部違規行為都是“有組織、有預謀的結果。”要想真正將內部威脅牢牢控制住,我們可能也得拿出同樣“有組織、有預謀”的方案來應對才是。
上一篇:企業資源規劃(ERP)考試問題下一篇:貴州沾黔益寶物聯網科技有限公司怎麽樣?