信息安全問題,是牌匾上凌厲的“生人勿近”,一旦遭遇,企業(yè)就只能自求多福?!
現(xiàn)實(shí)世界中,企業(yè)面臨的安全威脅種類繁多,但真正的危險(xiǎn),是企業(yè)以為自己本身足夠安全,殊不知威脅早已滲入內(nèi)部,伺機(jī)而動(dòng)。
全球最大的婚外戀網(wǎng)站Ashely Madison被黑,多國(guó)政客及許多世界頂級(jí)公司的高管也名列其中,隨后他們相繼離職,雖是一時(shí)的心猿意馬,但信息安全問題使他們身敗名裂。
美國(guó)零售商巨頭Target 2013年才剛在九月拿到PCI-DSS合規(guī)認(rèn)證,但在11月就被攻擊,并在兩個(gè)月內(nèi)約有1.1億用戶數(shù)據(jù)遭到泄露,其中不僅包括用戶個(gè)人信息,甚至連神秘的卡后三位數(shù)字也昭然若揭,買賣信息及盜刷一時(shí)點(diǎn)燃了整個(gè)黑市的熱情,最終Target CEO引咎辭職,但企業(yè)數(shù)據(jù)泄漏對(duì)用戶的影響還在持續(xù)。
也不是只有普通的企業(yè)表示對(duì)信息安全問題很是無奈,就連”黑市“也上演著一幕幕黑吃黑的戲碼。意大利Hacking Team 雖以黑客專家自稱,但也不慎反遭同行黑入數(shù)據(jù)庫(kù),導(dǎo)致大量軍火數(shù)據(jù)外泄,這次信息安全問題是否會(huì)照入現(xiàn)實(shí)引起戰(zhàn)爭(zhēng)浩劫,讓人不敢深思。
企業(yè)安全事件越來越多,甚至越來越得不到有效的控制……
以下有幾組駭人的數(shù)字:
15,000,000,000(不用數(shù)幾個(gè)0了,150億)——這是IBM每天需要為客戶處理的信息安全時(shí)間總量。(源于IBM2014年度報(bào)告)
3,790,000美元——這是今年數(shù)據(jù)泄露事故所造成的企業(yè)平均損失,這個(gè)數(shù)字去年是3,250,000。(源于 IBM與Ponenmon Institute 2015年5月份所做的調(diào)查)
25%——這是2014 年企業(yè)被入侵記錄總數(shù)較 2013 年增加的幅度,而2013 年泄露的記錄為 8 億條。(源于IBM X-Force 第二季度報(bào)告)
每年IBM X-Force報(bào)告都會(huì)總結(jié)出最新的安全趨勢(shì)和威脅信息,而在2015年度前兩個(gè)季度發(fā)布的報(bào)告來看,企業(yè)現(xiàn)階段面臨的信息安全問題無非就是來自外部和內(nèi)部,雖然源頭不同,表現(xiàn)形式不一,但對(duì)企業(yè)來說,同樣致命。
外部-危機(jī)重重:
從IBM X-Force第一季度的報(bào)告可以看出,企業(yè)正處在一個(gè)水深火熱的網(wǎng)絡(luò)世界之中,2014年大部分的安全事件活動(dòng)主要都圍繞三個(gè)領(lǐng)域展開:數(shù)字世界隱私、基礎(chǔ)漏洞和安全基礎(chǔ)知識(shí)缺乏。
數(shù)字世界隱私:企業(yè)在某種程度上信任通信和數(shù)據(jù)儲(chǔ)存服務(wù)供應(yīng)商,認(rèn)為他們已經(jīng)采取了足夠的安全防護(hù)來保障隱私。但是2014年頻發(fā)的安全事件卻證實(shí),盡管主要安全入口點(diǎn)已得到妥善保護(hù),但外部攻擊者依然會(huì)設(shè)法尋找其他方法進(jìn)行攻擊。例如:用戶儲(chǔ)存在云上的敏感照片遭受曝光。單純的用戶總是善良地用簡(jiǎn)單強(qiáng)關(guān)聯(lián)的字符作為登陸網(wǎng)站的密碼,而躲在暗處的黑客洞悉這一切后,通過暴力破解可輕松盜取照片,大庭廣眾之下“曬成就”。
基礎(chǔ)漏洞:互聯(lián)網(wǎng)上有超過10億個(gè)網(wǎng)站,這一數(shù)字還在逐日遞增。但大多數(shù)網(wǎng)站都依賴相同的操作系統(tǒng)、開源庫(kù)和內(nèi)容管理系統(tǒng)(CMS)軟件,這將企業(yè)曝露在戰(zhàn)火之中,因?yàn)橐坏┯邪踩┒磁?,這影響的不僅是一個(gè)基礎(chǔ)系統(tǒng),而是千千萬(wàn)萬(wàn)個(gè),導(dǎo)致大量網(wǎng)站遭到利用。對(duì)幾乎所有的網(wǎng)站而言,外部攻擊者都可以利用基礎(chǔ)漏洞,發(fā)布惡意軟件或僵尸程序,大規(guī)模感染企業(yè)服務(wù)器。
安全基礎(chǔ)知識(shí)缺乏:密碼是獲取信息的通關(guān)密語(yǔ),同樣也是遭受攻擊的軟肋。至今為止,密碼還是導(dǎo)致企業(yè)數(shù)據(jù)泄漏的一個(gè)主要因素。無論是可預(yù)測(cè)的弱密碼,還是反復(fù)在多個(gè)站點(diǎn)使用的重復(fù)密碼都讓外部攻擊這有機(jī)可乘。當(dāng)然,還有部分企業(yè)中仍在使用默認(rèn)密碼,去年大批零售企業(yè)信息的泄漏就是攻擊者通過遠(yuǎn)程方式訪問銷售點(diǎn)的POS機(jī),輕松截取信息??梢钥闯?,更改默認(rèn)賬戶密碼等基本安全措施仍未得到充分實(shí)施
內(nèi)部-防不勝防:
不管是無心之過還是蓄意而為,內(nèi)部威脅都有可能會(huì)對(duì)企業(yè)最具價(jià)值的資產(chǎn)造成巨大的破壞。
近幾年垃圾電子郵件逐漸成為破壞者傳播惡意軟件的渠道,并開始嘗試?yán)脨阂廛浖肭謾C(jī)器。企業(yè)內(nèi)部危險(xiǎn)意識(shí)不強(qiáng)的員工,可能在有意無意間點(diǎn)開網(wǎng)絡(luò)釣魚電子郵件中發(fā)送的惡意鏈接,而間接幫了攻擊者的忙;
對(duì)于大部分企業(yè)來說,“內(nèi)部威脅”曾經(jīng)意味著心懷不滿或粗心大意的員工對(duì)公司的物理或電子資產(chǎn)造成的傷害。 隨著過去十年間企業(yè)間諜活動(dòng)不斷升級(jí),現(xiàn)在要保護(hù)資產(chǎn)的安全,還需要考慮到各種各樣的情況。比如當(dāng)有情緒的員工離職后很可能出現(xiàn)嚴(yán)重的數(shù)據(jù)外泄事件,離職員工在離開公司前可能已建好了“后門”,一旦他進(jìn)入了新公司就可能會(huì)啟用這個(gè)后門,從外部訪問隱藏的賬戶或敏感數(shù)據(jù)。
當(dāng)然,還有那些“準(zhǔn)公司內(nèi)部人員”,像受信任的第三方承包商也極有可能成為安全事件的罪魁禍?zhǔn)?。這些人員并不固定,比如電工、建筑工人、電話維修人員等。Target數(shù)據(jù)泄漏事件的原因就是因?yàn)闉E用了這種第三方訪問權(quán)限,使得攻擊者有機(jī)會(huì)常常盜取憑據(jù)并得以訪問網(wǎng)絡(luò)。
無論是事件發(fā)生頻率及數(shù)量的急速增長(zhǎng),還是企業(yè)內(nèi)外威脅交加,信息安全問題已是各企業(yè)現(xiàn)在面臨的最為嚴(yán)重的疫情,如同2003年的SARS悄無聲息卻致命地迅速在企業(yè)間蔓延。那么,這場(chǎng)疫情的特效藥是什么?
確定企業(yè)的核心資產(chǎn)并加強(qiáng)保護(hù)+提升企業(yè)全面的安全架構(gòu)能力
核心資產(chǎn)的確定需要因行業(yè)與企業(yè)特性不同,而在安全架構(gòu)能力提升方面,以下建議或許對(duì)企業(yè)有幫助:IBM XForce研究與開發(fā)團(tuán)隊(duì)于日前公布的2012年至2014年安全事件回顧報(bào)告提到了惡意份子的攻擊手法與對(duì)象已從早期的金融詐欺轉(zhuǎn)變?yōu)椴环中袠I(yè)的進(jìn)階持續(xù)性滲透(Advanced Persistent Threat;APT)攻擊,因此,傳統(tǒng)的安全防護(hù)架構(gòu)將無法有效抵御、防堵安全威脅,建議企業(yè)從安全治理(Security Intelligence &GRC)丶生命周期管理(Identify Lifecycle)丶數(shù)據(jù)(Data)丶應(yīng)用 (Application)與基礎(chǔ)架構(gòu)(Infrastructure)等五個(gè)面向著手打造安事件管理平臺(tái)(Security Information Event Management;SIEM),有效偵測(cè)與防堵各式安全威脅:
安全治理:透過整合威脅分析服務(wù)(XFTAS)等多種功能服務(wù),落實(shí)風(fēng)險(xiǎn)管理、弱點(diǎn)管理、配置管理、事件管理與可視化管理,有效防堵大型的分散式APT等攻擊;
權(quán)限生命周期管理:透過身份訪問管理功能定期為關(guān)鍵數(shù)據(jù)庫(kù)等系統(tǒng)更新密碼,以及依據(jù)員工自動(dòng)調(diào)整帳號(hào)權(quán)限;
數(shù)據(jù)管理:以Guardium database安全及稽核工具結(jié)合IBM QRadar偵測(cè)并分析當(dāng)前活動(dòng)是否涉及任何安全威脅;
應(yīng)用程序查漏:IBM AppScan檢測(cè)應(yīng)用程式原始碼與應(yīng)用程式框架安全性,并且針對(duì)Web應(yīng)用程式進(jìn)行弱點(diǎn)掃描以及提供安全漏洞評(píng)估與安全建議;
基礎(chǔ)架構(gòu)保護(hù):透過IBM Security Guardium確保數(shù)據(jù)庫(kù)的數(shù)據(jù)資料安全,并透過IBM Network and Endpoint Protection保障網(wǎng)路設(shè)備與終端設(shè)備的安全性。