什么才是安全失败?新定义新途径势在必行

日期: 2011-05-08 作者:Eric B. Parizo翻译:Sean 来源:TechTarget中国 英文

我们已经对大量知名企业的数据外泄事件见怪不怪,但在2011年泛滥的数据外泄事件出现时,这些知名公司在保护他们宝贵的数字资产时所表现出来的无能为力,让我感到震惊。   请原谅我有些夸张的说法,但由于种种原因,这些最近发生的事件重新定义了企业在信息安全方面的失策。让我们简要回顾一下最令人震惊的事件: RSA SecurID解决方案最早是从鱼叉式网络钓鱼(spear phishing)攻击开始被突破的:至少有一个EMC公司安全部门的员工成为针对性电子邮件攻击的牺牲品;数字犯罪分子们通过结合社会工程和恶意附件,暴露了RSA公司高利润的SecurID认证产品的详细信息。但值得称道的是,作为信息安全最突出……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

我们已经对大量知名企业的数据外泄事件见怪不怪,但在2011年泛滥的数据外泄事件出现时,这些知名公司在保护他们宝贵的数字资产时所表现出来的无能为力,让我感到震惊。

  请原谅我有些夸张的说法,但由于种种原因,这些最近发生的事件重新定义了企业在信息安全方面的失策。让我们简要回顾一下最令人震惊的事件:

  • RSA SecurID解决方案最早是从鱼叉式网络钓鱼(spear phishing)攻击开始被突破的:至少有一个EMC公司安全部门的员工成为针对性电子邮件攻击的牺牲品;数字犯罪分子们通过结合社会工程和恶意附件,暴露了RSA公司高利润的SecurID认证产品的详细信息。但值得称道的是,作为信息安全最突出的品牌之一,RSA的技术可以快速有效地检测和阻止攻击,比如很可能做到有效地控制已在其他地方造成破坏的攻击行为。
  • 自动安全事故:流行的博客平台WordPress背后的公司遭受到一起被其称为“底层突破” 的攻击。牵连到几个服务器,并导致了敏感信息和自定义源代码的失窃。
  • 索尼披露了PlayStation平台上的网络黑客事件:在这一可能是迄今为止最大的数据泄露事件中,攻击者强行绕过了索尼自称为“非常复杂的安全系统”,窃取了超过7500万会员的个人数据,这一规模相当于美国人口的四分之一。甚至客户加密信用卡数据也可能已经被窃取。

  以上列出来的还不包括McAfee公司和Barracuda网络公司所遭受到的重大网络攻击,以及HBGary Federal公司的严重安全问题,如果信息安全领域设置了达尔文奖,那么HBGary Federal肯定是今年的得主(不然只有空缺了)。

  最近所有的数据破坏或损失,是由不同的过程和技术上的安全控制缺口引起的,但它们都反映出企业根本无力保护自己最重要的东西:知识产权和客户数据。...

  很难确切地知道这些公司花了多大的功夫来防止此类事件,但行业观察者应该从这些案例中学到了宝贵经验,即试图阻止信息泄露的“普通方式”没什么效果。RSA公司比大多数的公司都懂安全问题,并将所有的信誉都建立在其自身的安全上,但是如果连RSA这样的公司都有百密一疏的情况,在阻止攻击者窃取其最重要的知识财产上受挫,那么可以预计其他的普通公司也不会做得更好。

  我认为有两个关键的经验教训:企业必须在攻击到来前就主动去发现自身(所有类型的)安全弱点;即使那样做了,企业仍然必须做好失败的准备,并制定相关的反应机制。

  在最近出版的信息安全杂志Essential Guide的威胁管理部分中,Mandiant公司的首席战略官Richard Bejtlich写道:“为了更好地防范有针对性的攻击,必须进行反威胁行动(counter-threat operations ,CTOps)。换句话说,防御者必须积极寻找入侵者”。

  Bejtlich提供了证实反威胁行动方法的最佳方式,并组建一个团队来做这项工作,但是根本的办法应该是不间断的去寻找创新的解决方法。这不仅要识别威胁和弱点,同时也需要用可靠的技术和可重复的流程来解决问题。如果你只是口头上说说,相当于变相鼓励了攻击者,所以不想失败的话,公司只有跟上形势,并且必须不断的创新。

  这就是说,同确保数据保护成功一样重要的是,失败是不可避免的,泄露必然会发生。本周,总部位于圣路易斯的基础设施和主机提供公司Savvis Inc.的安全咨询业务主管Lenny Zeltser告诉我,各公司应安排一次泄露演习,以便在真实的泄露事件发生之前,了解减轻损害所必须实施的关键步骤。

  Zeltser说:“当你所在的公司拥有很多员工时,他们都有可能受到社会工程学的攻击,攻击面是如此之大,即使你在建立技术和流程来抵抗攻击方面做了很多,还是防不胜防。你应该按照你对安全的假设来制定反应策略。”

  在这一年中,当移动设备数量以空前的速度增加,IPv4地址即将快速的消耗殆尽,所有的安全专家都应重点关注这些问题上,但不幸的是,频频爆出知名公司数据泄露事件。虽然这种情况我们已经见过很多次,但我们希望企业能够明白,是时候采取新的方法来保护数据了。因为企业没什么可失去的,除了他们最重要的数据。

翻译

Sean
Sean

相关推荐