从今年的安全泄露事故学到的6个教训

根据开放安全基金会表示,迄今为止最严重的10起安全泄露事故中,3起事故发生在今年。这包括NYC Taxi & Limousine Commission的 1.73亿条记录泄露事故,易趣的1.45亿条记录泄露事故以及韩国信用局的1.04亿条记录泄露事故。而这还没有算上据称俄罗斯黑客窃取的12亿用户名和密码,或者最近从韩国游戏网站发现被盗的2.2亿条记录。

根据开放安全基金会和Risk Based Security公司表示,2014年正在取代2013年成为泄露数据量最高的一年。

如果我们能够从错误中吸取教训,那么今年应该会成为安全教育标志性的一年。

下面是一些经验教训:

1. 是时候认真考虑人员配备问题

在信息安全最大的安全漏洞可能根本不是技术方面的问题。

“在2014年,大约40%的安全职位为空置,”惠普企业安全产品首席技术官Jacob West表示,“并且,当你看看高级安全职位,空置率达到近49%。无论我们使用什么样的技术,无论我们如何努力保护系统,如果我们的队伍人手不够,我们将会看到我们的对手取得成功。”

West引用的数据来自于今年春天由惠普赞助Ponemon研究所发布的研究报告,其中显示,70%的受访者表示其安全部门人员不足。主要的原因是什么?根据43%的受访者表示,原因在于企业未提供有竞争力的薪酬。

根据5月份由IBM赞助的另一个Ponemon研究显示,数据泄露事故的平均总成本上升了15%,达到350万美元,而包含敏感信息和机密信息的每条丢失或被盗记录的平均成本增长超过9%,从2013年的136美元增长到今年的145美元。对此,企业可能要重新考虑其安全人员预算了。

2.了解你的代码

在过去10年中,很多企业都采用了软件安全最佳做法,在基础层面构建安全性。

.然而,这仅仅是对于他们自己编写的代码。

“今年暴露出的问题之一是,企业并没有自己编写大部分软件,Shellshock和Heartbleed等漏洞更是说明了这一点,”惠普的West表示,“软件其实是拼装的,而不是编写的。我们拿来商业组件和开源组件,然后在上面构建一些专有性。”

这样做的结果是,有些企业花了几个星期,甚至几个月,试图整理其系统,以及弄清楚他们在哪里使用了易受攻击版本的SSL。

企业需要先彻底了解他们正在使用什么应用程序,他们在哪里以及如何使用这些程序,以及其相对重要性。自动扫描系统在这方面可能有所帮助,但最终,这还是需要人的努力。

3.渗透测试是谎言

渗透测试是安全审计的组成部分。事实上,支付卡行业数据安全标准中有这一要求。

渗透测试公司Rook Security首席执行官J.J.Thompson表示:“遭受过数据泄露事故的每个公司都有渗透测试报告称攻击者无法获取数据,或者,如果他们可以得到,但并不重要的数据。”

那么,为什么渗透测试不能暴露潜在安全漏洞,让公司能够解决这些问题呢?

“这很简单,”Thompson表示,“渗透测试报告一般都是谎言。”

或者换句话说,与真正的攻击者相比,渗透测试人员能做的和不能做的更加有限制。

“你无法冒充别人,因为这并不是我们的测试方式,”Thompson表示,“你无法建立一个与Facebook个人资料相关的钓鱼网站,因为这太离谱。”

真正的攻击者因为入侵一家公司,已经触犯了法律,他们可能并不担心触犯其他法律。而白帽安全公司则不太愿意通过跟踪其客户或供应商系统而入侵一家公司。或者冒充政府官员,或损坏设备,或劫持企业员工的朋友或家庭成员的社交媒体账号来入侵公司。#p#

4.物理安全遇见网络安全

最近攻击团伙瞄准了美国东海岸的一家公司(+微信关注网络世界),他们绕过防火墙,提取其领导层的数据,并获取即将举行的活动的信息,以及这些活动将要使用的设施。

John Cohen表示:“当局认为,这是该组织前期规划工作的一部分。”他此前是美国国土安全局的反恐协调员兼情报和分析代理副秘书,现在是安全供应商Encryptics公司首席战略顾问。

Cohen称:“这里同时涉及了物理安全和网络安全。”

这也可以反过来进行,通过攻击设备物理地入侵来进行数字盗窃

企业安全必须更加全面。闯入办公现场的盗贼可能一直在寻找易于突破的电子设备,或者他们可以部署键盘记录器。

5. 做好失败计划,第一部分

如果你肯定地知道攻击者将要入侵你的系统,你的做法会有什么不同?

在今年的高曝光率数据泄露事故后,很多人都在问自己这个问题,并开始以不同的角度思考安全问题。

“在我看来,以及其他人看来,这是心态的转变,”CompTIA的IT安全社区主席兼Reflexion Networks公司产品管理副总裁Scott Barlow,“企业都假设他们的数据将被泄露,或者已经被泄露,并且他们正在采取措施。”

这些步骤包括对员工桌面的数据、文件服务器内的数据甚至电子邮件进行加密。

同时,名为“标记化”的程序取代了包含随机生成代码或令牌的银行卡数字,在这些数字离开POS机之前。只有付款处理器知道真正的数字,零售商获得令牌,而这对于入侵系统的攻击者毫无价值。

而这让支付处理器成为目标,但事实上,它们一直都是攻击目标。

FirstDat公司网络安全解决方案总经理兼高级副总裁Paul Kleinschnitz表示:“攻击者已经瞄上我们。”该公司负责美国40%的支付处理。

与此同时,Target和Home Depots将不会再面临失去支付数据的风险。

Kleinschnitz表示:“我们正在帮助商家减小这种风险。”

6. 做好失败计划,第二部分

如果摩根大通能够被攻击,那么,每个公司都容易受到攻击。

Weisbrod Matteis & Copley 律师事务所计算机犯罪专业律师Peter Toren表示:“即使你部署了最好的安全措施,你仍然可能被攻击。”Toren曾在司法部计算机犯罪部门担任了8年的联邦检察官。

企业如何应对这种数据泄露事故可以带来很大的不同。

在去年年底,Target公司遭受重大数据[注]泄露事故,导致4000万支付卡账户泄露,因为在处理这个事故时所面临的问题,该公司的首席执行官和首席技术官都失去了他们的工作。

企业需要提前做好应对泄露事故的准备工作,并早在泄露事故发生之前做好准备工作。

“他们需要有一个计划,并提前与公关公司进行合作,”他表示,“而不是在事故后才联系公关公司。”(邹铮编译)

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/148810.html<

(0)
管理的头像管理
上一篇2025-03-12 08:03
下一篇 2025-03-12 08:04

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注