2011年的春天對索尼高管來說可沒什么溫暖。安全廠商Lumension Security將大規(guī)模的索尼數(shù)據(jù)泄漏事件放在一起,繪出了一張時間表。該公司還概述了可能會讓索尼進(jìn)一步受害(信譽(yù)和金錢)的一些失誤。
索尼的PlayStation網(wǎng)絡(luò)于4月20日關(guān)閉,同時取證組開始調(diào)查索尼數(shù)據(jù)泄漏的范圍。截止到5月2日,該泄漏事件影響了大約1億人,且蔓延到了其在線娛樂部分(Online Entertainment division)。
索尼已采取了額外的保安措施,但在5月18,索尼發(fā)現(xiàn)了其密碼重設(shè)應(yīng)用中的一個漏洞,從而導(dǎo)致了有一次短暫關(guān)閉。
在大量數(shù)據(jù)泄漏事件中,索尼是其中備受矚目的一個,它標(biāo)志著2011年數(shù)據(jù)泄漏的開始。
每一次事件都向我們揭露了安全的缺陷:配置問題,漏洞,社會工程攻擊,將這些結(jié)合起來就給網(wǎng)絡(luò)犯罪分子們提供了一份可以進(jìn)入系統(tǒng)的路線圖。
上個月,Mandiant公司首席安全官Richard Bejtlich告訴我的同事EricParizo,是時候創(chuàng)造新的方法來對付攻擊了。Bejtlich建議大型企業(yè)可以采取負(fù)擔(dān)得起的反威脅行動,這些企業(yè)可以主動出擊“積極在他們的內(nèi)部尋找入侵者。”
其他的企業(yè)則應(yīng)對基礎(chǔ)知識進(jìn)行更新:
重新審視你的安全策略。它們可以有效地傳達(dá)給員工嗎?它們是如何得到實(shí)施的。專家表示,改善溝通是減少數(shù)據(jù)泄漏長期有效的方法。員工們會將別的設(shè)備引入到網(wǎng)絡(luò)上,但他們很多都不知道公司的安全策略是什么,或者有些策略是強(qiáng)制執(zhí)行的。一些處理敏感數(shù)據(jù)的員工通常認(rèn)為有潛在的技術(shù)可以提供安全保護(hù)。
進(jìn)行數(shù)據(jù)審計(說起來比做起來容易),從而發(fā)現(xiàn)你系統(tǒng)上最敏感的數(shù)據(jù)在哪里。專家表示,公司經(jīng)常在部署安全技術(shù)時,甚至不知道他們的數(shù)據(jù)所在。這種做法本可以讓索尼不會受到進(jìn)一步的損害的。索尼發(fā)現(xiàn)了一個暴露的服務(wù)器,其上包含的信用卡數(shù)據(jù)可以追溯到2007年。
確保你的安全技術(shù)得到正確的配置。通常,Web應(yīng)用防火墻或其他安全設(shè)備的實(shí)施是為了滿足合規(guī)要求,但它們很少設(shè)置策略,因此在減少威脅方面也沒什么作用。那些花些時間來調(diào)整安全設(shè)備的企業(yè),可以發(fā)現(xiàn)可疑的活動或發(fā)出警報,從而避免嚴(yán)重的數(shù)據(jù)泄漏,甚至可以在過程中檢測到一次攻擊,就像RSA在其系統(tǒng)上所做的一樣。
針對應(yīng)用和系統(tǒng)進(jìn)行Web漏洞評估。正如我們在Verizon數(shù)據(jù)泄漏調(diào)查報告中所看到的,網(wǎng)絡(luò)犯罪分子總是選擇那些唾手可得的目標(biāo)作為切入點(diǎn)。一個全面的Web應(yīng)用程序及其底層鏈接到的基礎(chǔ)設(shè)施評估,會使攻擊者難以滲透網(wǎng)絡(luò)。
為數(shù)據(jù)泄露作好準(zhǔn)備。專家說,既然會發(fā)生,那么就為這不可避免的事情做好準(zhǔn)備。擁有應(yīng)急計劃和由強(qiáng)有力的領(lǐng)導(dǎo)者領(lǐng)導(dǎo)的集中應(yīng)急響應(yīng)小組的公司,會遭遇更少的痛苦。不過,這也是說起來容易做起來難,但在采取事故應(yīng)急計劃時也有一些關(guān)鍵步驟。
采取以上這些措施并不會使一個有預(yù)謀的攻擊停止,但它們可以將網(wǎng)絡(luò)犯罪分子拖延足夠長的時間,從而警告系統(tǒng)有異常,并在失控前,應(yīng)急小組孤立并最終減少數(shù)據(jù)泄漏的程度。