数据泄漏事故以惊人的频率发生,IT部门第一个想知道的事情是哪些数据丢失了,是怎样丢失的。
“数据渗漏”(是指从公司网络转移敏感信息)的概念已经逐渐成为所有数据泄漏调查的重要组成部分。不管是通过物理盗窃还是通过受感染内部机器的数字传输,结果都是相同的:敏感数据丢失将为企业带来灾难性的结果。
很多人使用数据丢失防护(DLP)技术来对抗这种威胁,这种技术可以在重要信息离开企业网络之前帮助识别并阻止重要信息的传输。但是不幸的是,攻击者往往很容易操纵、编码或者加密信息,让信息很容易地绕过数据丢失防护功能:看看最近为Metasploit发布的vSploit模块中的Web_PII模块。
Security Art的研究员Iftach Ian Amit在拉斯维加斯举行的BSides大会上说到这样一种趋势,即越来越多的公司意识到他们易于遭受数据丢失。
数据渗漏是这种趋势的核心所在。渗透测试公司现在的任务不仅仅是找出攻击者可以接触到企业数据的不同方式:企业还想知道数据从内部网络转移出去的所有方式。
Amit描述了一些数据渗漏技术,这些技术虽然用法不同,但是都有相同的目标:获取重要数据。其中一种方法就是在将数据传输到互联网之前或者期间对数据进行加密,这种方法非常容易实现,只需要简单地连接到支持SSL的远程web服务器或者FTP服务器或者使用基于文件的加密方式(例如winzip、PDF等)。
数据被加密和编码后,攻击者如何将数据转移出去呢?不要考虑电子邮箱和FTP。Amit建议使用社交网站发布帖子,然后稍后再获取。在渗透测试之前,可以创建一个WordPress或者博客网站来发布信息,这样做非常容易,并且是免费的。
Amit还提出了一个关于Wikipedia和wikis的有趣的问题,人们很少浏览的网页是哪些?观众给出了正确答案:讨论页,这是关于wiki的讨论页面。将加密和编码的数据放在那里,基本上很难被注意到。
在目标环境外面没有网络连接的话,攻击者会怎样做呢?这在高度安全环境中是很常见的情况,这种环境中,内部网络是与互联网隔绝的。Amit提供了三种选择:第一种是对数据进行编码,将数据发送到网络打印机,并期望任何看到它的人会将它当做乱码和垃圾。当这个垃圾被扔到企业外面时,攻击者就可以从垃圾箱中取回这张纸,并解码数据。
第二种方法就是利用VoIP或者电话系统来进行数据渗漏。首席,将数据编码为音频数据,然后呼叫到外部的语音信息或者电话会议服务,通过电话播放音频,并记录下来。随后获取音频,并解码。
Amit开发了一个概念证明型工具来处理编码和解码。
第三种方法是利用电子邮件到传真接口,内部电子邮件地址收到文件后可以被传真到任何地方。同样的,攻击者可以利用多功能打印机(具有直接扫描到传真号码或者电子邮件地址的功能)。
如果数据渗漏为硬拷贝形式,那么就可以直接扫描或传真并从设备发出,Amit表示。
数据渗漏的方法比比皆是,这意味着根本没有办法可以阻止数据渗漏。对于网络防护者而言,对公司的内部网关实施SSL检查可以帮助识别可疑数据传输。还可以配置Web/电子邮件内容过滤器来阻止加密文件传输。Amit建议首先加强防御控制以解决人为因素,然后再加入技术。
除了进行用户培训外,企业必须解决数据库存储位置和如何存储的问题。如果用户被允许在可移动载体上存储数据,请确保他们具有数据加密工具并知道如何使用。更好的是,使用自动自我加密的闪存驱动器。
同时,加强对传真机和多功能设备的控制,防止网络中的任何机器连接到这些设备,并防止个人在没有密码的情况下走过去使用它们。
部署好这些控制后,再对公司资产进行监控,弄清楚哪些属于重要资产以及它们的存储位置。Amit指出,没有理由羞于监控自己的资产,然后,“测试,进行更多的测试。”执行定期测试,让内部员工和外部渗透测试者参与进来,可以帮助IT部门确定哪些控制没有正确执行,以及哪些地方需要额外的培训。
只有你了解企业的数据流和网络中的资产,才可能抵御数据渗漏。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
数据泄露事故诉讼:企业应该怎么做?
当发现有数据泄露事故发生时,企业应该调查发生了什么事情、修复安全漏洞、配合执法部门工作以及遵守通知法规,认真遵循这些步骤可帮助企业减少影响。
-
美新数据安全法案:故意隐瞒数据泄漏将获罪
美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。
-
虚拟键盘数据泄露致数百万个人记录被曝光
因移动开发商Ai.type错误配置MongoDB数据库导致键盘数据泄露,在本次泄露事故中,数以百万计的个人记录被曝光。
-
警惕!垃圾邮件程序窃取7.11亿条记录
安全研究人员发现包含大量电子邮件地址和密码的垃圾邮件程序(spambot)列表,并称这表明我们需要更多地了解垃圾邮件程序业务。