|
数据灾难预警
规避五大数据安全风险
威胁是什么?如果你的回答是黑客攻击或者说是IT人员的违规行为的话,那并不完全正确。的确,黑客的恶意攻击总能引起人们的高度重视,IT人员的恶意违规行为更是不能容忍,但事实上,最有可能泄露企业数据的却往往是那些没有丝毫恶意的员工,换句话说,内部员工使用网络文件共享或者乱用笔记本电脑造成数据泄露的可能性最大。
据Ponemon Institute最新的调查报告显示,内部员工的粗心大意是到目前为止企业数据安全的最大威胁,由此造成的数据安全事故高达78%.在这份报告中还指出,在企业不断尝试和应用最新企业内部数据保护技术的同时,却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。
存储网络工业协会(SNIA)曾发布过企业存储安全性自我评估方法,用来测试企业对数据的保护程度。结果显示,目前大多数企业受到数据泄露问题的困扰。ITRC(Identity Theft Resource Center)的资料也显示,在美国,2008年出现的数据泄露事件比上一年增长了47%.“况且这些还只是有记载的数字,我的电子邮箱里就经常收到一些促销信息,显然我的个人信息通过某种渠道被泄露了。” ITRC的创始人、身份认证管理专家Craig Muller说。
事实上,现在人们应该充分意识到问题的严重性了。Ponemon Institute在2008年进行的另一项调查显示,在1795名受访者中有超过一半以上的人表示其在过去24个月中被告知数据泄露的次数大于两次,而8%的人则表示收到过四次以上这样的通知。但是,到目前为止,企业还不知道该如何保护自己。在Ponemon Institute的这份调查中显示,在577名安全专家中仅有16%的人认为当前的安全措施足以保护企业的数据安全了。
目前,解决问题惟一的方法就是借鉴其他企业的前车之鉴,以避免自己出现类似的问题。下面介绍五种常见的数据泄露问题,每种情况我们都给出了规避安全风险的建议。
内部窃取
2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高级数据库管理员利用特许的数据存取权限偷走了超过850万客户的数据资料。随后,他将数据卖给了一家中间商,价格是50万美元,之后这家中间商又将数据卖给了其他商家。事情败露后,这名员工被判入狱四年并负责赔偿320万美元的经济损失。Certegy Check Services官方宣称事情很快就得到了解决,客户的个人信息并没有被泄露,不过,其客户还是收到了其他厂商发来的促销信息,而这些厂商恰恰购买了被窃数据。
还有一个案例,一位在DuPont工作的技术专家在离开公司之前拷贝了价值4亿美元的商业机密,然后跳槽到了一家与DuPont竞争的亚洲公司。根据法院的记录,他利用特许存取权限下载了大约2.2万份摘要以及1.67万份PDF文件,这些文件记录了DuPont的主要产品线,其中还包括一些开发中的新技术。他在下载数据之前与DuPont的竞争对手讨价还价了两个月之久,并最终达成了“协议”。依据这些犯罪记录,法院宣判其服刑18个月。
代价:在DuPont的案例中,虽然最终美国政府为其损失补偿了18万美元,但其被泄露的商业机密估计价值超过4亿美元。而且,没有任何证据可以证明,DuPont泄露的数据已经被竞争对手,也就是上述那位技术专家的“同谋”得到,这就使得DuPont无法通过更有效的法律途径解决问题。
据Semple的研究显示,客户信息失窃比知识产权失窃带来的损失更大。在2008年,Certegy Check Services公司为客户信息丢失所付出的代价是每人每次2万美元。
分析:ITRC的报告中显示,在2008年发生且被记录下来的泄露事件中有16%是由内部窃取所造成的,是2007年的两倍。原因是,现在很多企业在“猎头”的同时,还伴随着商业犯罪—根据卡内基梅隆大学计算机应急响应小组(CERT)的研究,1996年到2007年企业内部犯罪有一半是窃取商业机密。
CERT指出,内部人员窃取商业机密有两大诱因:一是能够获得金钱;二是能够获得商业优势。虽然后者多是从员工准备跳槽开始的,但这类情况大都是在员工离开以后才被发现,因为其留下了秘密访问数据的记录。可见,内部威胁是数据安全管理的难题之一,尤其是对那些有特许权限的员工的管理更是如此。
建议:首先,建议企业做好对数据库非正常访问的监督,为不同用户的当前可用访问权设定限制,这样系统就可以很容易地检测出负责特定工作的员工是否访问了超出工作范围的数据。比如,Dupont公司就是因为检测到该技术专家异常访问了电子数据图书馆才发现了其非法行为的。此外,一旦检测到了数据泄露,最重要的就是快速行动以减小信息扩散的可能性,并提交法律机关迅速展开取证调查。
其次,企业应当使用个人访问控制工具,保证系统记录下每一个曾经访问过重要信息的人。此外,保存客户和员工信息的数据库更应当对访问加以严格限制。事实上,就日常工作而言,能有多少人在没有许可的情况下有查阅身份证件号码和社会保险号码的需要呢!因此,个人信息应该与商业机密有着相同的保密级别。
再次,建议使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露。这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告,并做记录。但是目前,很多企业都没有应用类似的审查记录工具。
此外,加强内部控制和审计也非常重要。举个例子,企业可以通过设立网络审查或记录数据库活动等方式来进行监督。保存详细记录可能并不够,企业还需要通过审计方式来检查是否有人更改或者非法访问了记录。当然,单独依靠技术手段是不行的,企业还需要确保你所信任的数据使用者是真正值得信任的。
私密数据保护
如果把一封信锁在保险柜中,把保险柜藏在纽约的某个地方……,然后告诉你去看这封信,这并不是安全,而是隐藏。相反,如果把一封信锁在保险柜中,然后把保险柜及其设计规范和许多同样的保险柜给你,以便你和世界上最好的开保险柜的专家能够研究锁的装置,而你还是无法打开保险柜去读这封信,这才是安全的概念。
伴随着计算机和互联网的普及,越来越多的人习惯于把他们的私密数据保存在他们的个人电脑中。于是,越来越多的网络罪犯开始把他们的目光落在了采用计算机技术从网络中的计算机系统中获取他们感兴趣的私密数据。这些私密数据的涵盖面很广,比如私人(商业)电子信函、各类金融系统的帐号和密码、私人照片、商业合同等。只要是能够引起网络罪犯的兴趣或给他们带来经济利益的私密数据,都有可能会成为他们窃取的对象。
根据卡巴斯基实验室多年对网络犯罪行为的研究显示,目前至少有3种不同的方法被网络罪犯用于从一台计算机上盗取私密数据。要想读到一个人保险箱中的私密信件,最快捷也是最直接的办法当然是找到这个人,然后使用各种手段让他说出他的信件内容或者保险箱的密码。于是,有了第一种盗取私密数据的方法。计算机用户会通过各种渠道(邮件、即时通讯工具等)收到一些仿冒的(貌似真的)提示,这些提示要求他们告知某些私密信息,于是一些计算机用户便自愿地将这些信息说了出来。比如说,收到一封邮件,邮件正文中写着“我们是XX银行。您在我银行办理的信用卡有效期将至,为保证您能够继续使用该信用卡,请登陆我们的网上银行进行有效期延长。”接下来,就是那个银行的网上银行链接。在用户点击链接后,就会登陆到一个与某真实银行的网站风格非常相似(甚至是完全一样)的网站,在这个网站上要求用户输入信用卡帐号和密码以进行延期。——这就是非常典型的一个例子。采用这种方法骗取用户私密数据的网络罪犯,都是利用了人们对大公司、知名企业的强烈信任,假冒这些企业的名义进行诈骗。我们把这种方法叫做“网络钓鱼”。
第二种盗取私密数据的方法,是通过跟踪和记录用户在计算机上的操作来进行的。这一类方法都是通过木马程序来实现的,卡巴斯基将使用这种方法盗取私密数据的木马程序命名为:Trojan-Spy。这一类木马程序的典型代表就是“键盘记录器” ——随时监控用户的操作,一旦发现用户准备输入某些私密数据时,就开始记录用户通过键盘输入的每一个字符(甚至还配合截屏),并将这些字符和图片保存起来,定期发送给网络罪犯。
第三种盗取私密数据的方法,是通过搜索用户计算机上的私密数据来实现的。正像我们在前面讲到过的一样,当前有越来越多的用户喜欢在计算机上保存他们的私密数据(包括各种帐号、密码、私人信件和照片、商业信函与合同等)。第三种方法就是搜索这一类私密数据,然后将它们保存、加密,并定期发送给网络罪犯。微软的Windows操作系统中有一个“Windows 保护存储区”,用户通过选择使用,可以将很多人为私密的数据保存在这个区域中。如下图:
如果用户选择了让Windows记住密码,那么Windows将会把帐号和密码保存在“Windows 保护存储区”中。本来这个设计的初衷是好的,能够省去很多用户记忆、输入密码的麻烦,方便了用户使用。但是,这样一来,也方便了网络罪犯,他们能够很轻易地从这个区域中获取大量的用户私密数据。
俗话说,魔高一尺,道高一丈。既然网络罪犯有很多的方法来盗取用户的私密数据,那么反病毒软件(或者说信息安全)厂商又有什么好的方法来防御这些非法的盗取行为呢?
目前,有不少的信息安全厂商都有了私密数据保护的功能,该功能一般被称作“隐私控制”,所使用的方法主要有两种。一种方法,就是让用户先将需要保密的私密数据输入程序中的一个表格,由程序将其保存下来。然后程序会实时分析用户的网络流量,一旦在网络流量中发现了跟用户之前输入的私密数据相匹配的数据时,就会提示用户。这种方法看似简单可行,但是它一个致命的缺陷。那就是,现在越来越多的网络罪犯在传输他们收集到的私密数据时,都是以加密的形式进行的,并且也有越来越多的网站开始使用SSL加密传输技术。对于这种经过加密的网络数据流,反病毒程序是没有办法对其进行分析的,更不要说从其中发现用户预先输入的私密数据。
另一种方法,就是对系统内的程序行为进行分析,一旦发现它们有搜索特定文件、或是访问“Windows 保护存储区”并试图从其中窃取数据或者试图以静默方式发送数据(为了绕过用户本地安装的防火墙,很多网络罪犯会使用互联网浏览器的COM, OLE, DDE等接口对浏览器的进程进行调用,从而实现躲避防火墙监控,将私密数据传送出去的目的。)时,就给用户以提示。这种从行为上对试图盗取私密数据的网络犯罪行为进行防范的方法,更为可行。目前,在卡巴斯基的7.0单机版产品中,就是使用的这一种方法。如下图所示,
卡巴斯基互联网安全套装7.0单机版给用户提供了私密数据保护功能。
总的说来,要保护用户的私密数据不被盗取,一方面要靠信息安全厂商提供更好的安全保护功能。另一方面,也要用户自身提高警惕,管理好自己的私密数据。
|
|
.png)
新公网安备65010202000297号