- 生活總是美好的,即便是虛假的美好;
- 無(wú)處不在的網(wǎng)絡(luò ),讓我們在無(wú)拘無(wú)束的網(wǎng)絡(luò )世界中隨時(shí)隨地暢游;
- 但你的一舉一動(dòng)、一言一行也同時(shí)被監視著(zhù)、記錄著(zhù),甚至交易著(zhù)……
- 黑客攻擊、服務(wù)停滯、數據失竊,是無(wú)數企業(yè)難以言說(shuō)的痛;
- 信息安全問(wèn)題,是牌匾上凌厲的“生人勿近”;
- 一旦遭遇,企業(yè)就只能自求多福?!
恐怖片里,兇手作案的地點(diǎn)可以是Party、電影院、馬路上,但更多的時(shí)間,兇案往往發(fā)生在被害者家中;現實(shí)世界中,企業(yè)面臨的安全威脅種類(lèi)繁多,但真正的危險,是企業(yè)以為自己本身足夠安全,殊不知威脅早已滲入內部,伺機而動(dòng)。
全球最大的婚外戀網(wǎng)站Ashely Madison被黑,多國政客及許多世界頂級公司的高管也名列其中,隨后他們相繼離職,雖是一時(shí)的心猿意馬,但信息安全問(wèn)題使他們身敗名裂。
美國零售商巨頭Target 2013年才剛在九月拿到PCI-DSS合規認證,但在11月就被攻擊,并在兩個(gè)月內約有1.1億用戶(hù)數據遭到泄露,其中不僅包括用戶(hù)個(gè)人信息,甚至連神秘的卡后三位數字也昭然若揭,買(mǎi)賣(mài)信息及盜刷一時(shí)點(diǎn)燃了整個(gè)黑市的熱情,最終Target CEO引咎辭職,但企業(yè)數據泄漏對用戶(hù)的影響還在持續。
也不是只有普通的企業(yè)表示對信息安全問(wèn)題很是無(wú)奈,就連”黑市“也上演著(zhù)一幕幕黑吃黑的戲碼。意大利Hacking Team 雖以黑客專(zhuān)家自稱(chēng),但也不慎反遭同行黑入數據庫,導致大量軍火數據外泄,這次信息安全問(wèn)題是否會(huì )照入現實(shí)引起戰爭浩劫,讓人不敢深思。
每年IBM X-Force報告都會(huì )總結出最新的安全趨勢和威脅信息,而在2015年度前兩個(gè)季度發(fā)布的報告來(lái)看,企業(yè)現階段面臨的信息安全問(wèn)題無(wú)非就是來(lái)自外部和內部,雖然源頭不同,表現形式不一,但對企業(yè)來(lái)說(shuō),同樣致命。
外部——危機重重:
從IBM X-Force第一季度的報告可以看出,企業(yè)正處在一個(gè)水深火熱的網(wǎng)絡(luò )世界之中,2014年大部分的安全事件活動(dòng)主要都圍繞三個(gè)領(lǐng)域展開(kāi):數字世界隱私、基礎漏洞和安全基礎知識缺乏。
數字世界隱私:企業(yè)在某種程度上信任通信和數據儲存服務(wù)供應商,認為他們已經(jīng)采取了足夠的安全防護來(lái)保障隱私。但是2014年頻發(fā)的安全事件卻證實(shí),盡管主要安全入口點(diǎn)已得到妥善保護,但外部攻擊者依然會(huì )設法尋找其他方法進(jìn)行攻擊。例如:用戶(hù)儲存在云上的敏感照片遭受曝光。單純的用戶(hù)總是善良地用簡(jiǎn)單強關(guān)聯(lián)的字符作為登陸網(wǎng)站的密碼,而躲在暗處的黑客洞悉這一切后,通過(guò)暴力破解可輕松盜取照片,大庭廣眾之下“曬成就”。
基礎漏洞:互聯(lián)網(wǎng)上有超過(guò)10億個(gè)網(wǎng)站,這一數字還在逐日遞增。但大多數網(wǎng)站都依賴(lài)相同的操作系統、開(kāi)源庫和內容管理系統(CMS)軟件,這將企業(yè)曝露在戰火之中,因為一旦有安全漏洞披露,這影響的不僅是一個(gè)基礎系統,而是千千萬(wàn)萬(wàn)個(gè),導致大量網(wǎng)站遭到利用。對幾乎所有的網(wǎng)站而言,外部攻擊者都可以利用基礎漏洞,發(fā)布惡意軟件或僵尸程序,大規模感染企業(yè)服務(wù)器。
安全基礎知識缺乏:密碼是獲取信息的通關(guān)密語(yǔ),同樣也是遭受攻擊的軟肋。至今為止,密碼還是導致企業(yè)數據泄漏的一個(gè)主要因素。無(wú)論是可預測的弱密碼,還是反復在多個(gè)站點(diǎn)使用的重復密碼都讓外部攻擊這有機可乘。當然,還有部分企業(yè)中仍在使用默認密碼,去年大批零售企業(yè)信息的泄漏就是攻擊者通過(guò)遠程方式訪(fǎng)問(wèn)銷(xiāo)售點(diǎn)的POS機,輕松截取信息。可以看出,更改默認賬戶(hù)密碼等基本安全措施仍未得到充分實(shí)施。
內部——防不勝防:
不管是無(wú)心之過(guò)還是蓄意而為,內部威脅都有可能會(huì )對企業(yè)最具價(jià)值的資產(chǎn)造成巨大的破壞。
近幾年垃圾電子郵件逐漸成為破壞者傳播惡意軟件的渠道,并開(kāi)始嘗試利用惡意軟件入侵機器。企業(yè)內部危險意識不強的員工,可能在有意無(wú)意間點(diǎn)開(kāi)網(wǎng)絡(luò )釣魚(yú)電子郵件中發(fā)送的惡意鏈接,而間接幫了攻擊者的忙;
對于大部分企業(yè)來(lái)說(shuō),“內部威脅”曾經(jīng)意味著(zhù)心懷不滿(mǎn)或粗心大意的員工對公司的物理或電子資產(chǎn)造成的傷害。 隨著(zhù)過(guò)去十年間企業(yè)間諜活動(dòng)不斷升級,現在要保護資產(chǎn)的安全,還需要考慮到各種各樣的情況。比如當有情緒的員工離職后很可能出現嚴重的數據外泄事件,離職員工在離開(kāi)公司前可能已建好了“后門(mén)”,一旦他進(jìn)入了新公司就可能會(huì )啟用這個(gè)后門(mén),從外部訪(fǎng)問(wèn)隱藏的賬戶(hù)或敏感數據。
當然,還有那些“準公司內部人員”,像受信任的第三方承包商也極有可能成為安全事件的罪魁禍首。這些人員并不固定,比如電工、建筑工人、電話(huà)維修人員等。Target數據泄漏事件的原因就是因為濫用了這種第三方訪(fǎng)問(wèn)權限,使得攻擊者有機會(huì )常常盜取憑據并得以訪(fǎng)問(wèn)網(wǎng)絡(luò )。
無(wú)論是事件發(fā)生頻率及數量的急速增長(cháng),還是企業(yè)內外威脅交加,信息安全問(wèn)題已是各企業(yè)現在面臨的最為嚴重的疫情,如同2003年的SARS悄無(wú)聲息卻致命地迅速在企業(yè)間蔓延。那么,這場(chǎng)疫情的特效藥是什么?
確定企業(yè)的核心資產(chǎn)并加強保護+提升企業(yè)全面的安全架構能力
核心資產(chǎn)的確定需要因行業(yè)與企業(yè)特性不同,而在安全架構能力提升方面,以下建議或許對企業(yè)有幫助:IBM X-Force研究與開(kāi)發(fā)團隊于日前公布的2012年至2014年安全事件回顧報告提到了惡意份子的攻擊手法與對象已從早期的金融詐欺轉變?yōu)椴环中袠I(yè)的進(jìn)階持續性滲透(Advanced Persistent Threat;APT)攻擊,因此,傳統的安全防護架構將無(wú)法有效抵御、防堵安全威脅,建議企業(yè)從安全治理(Security Intelligence & GRC)、生命周期管理(Identify Lifecycle)、數據(Data)、應用(Application)與基礎架構(Infrastructure)等五個(gè)面向著(zhù)手打造安事件管理平臺(Security Information Event Management;SIEM),有效偵測與防堵各式安全威脅:
安全治理:透過(guò)整合IBM X-Force威脅分析服務(wù)(XFTAS)等多種功能服務(wù)的IBM QRadar落實(shí)風(fēng)險管理、弱點(diǎn)管理、配置管理、事件管理與可視化管理,有效防堵大型的分散式APT等攻擊;
權限生命周期管理:透過(guò)IBM Identity and Access Management定期為關(guān)鍵數據庫等系統更新密碼,以及依據員工自動(dòng)調整帳號權限;
數據管理:以Guardium database安全及稽核工具結合IBM QRadar偵測并分析當前活動(dòng)是否涉及任何安全威脅;
應用程序查漏:IBM AppScan檢測應用程式原始碼與應用程式框架安全性,并且針對Web應用程式進(jìn)行弱點(diǎn)掃描以及提供安全漏洞評估與安全建議;
基礎架構保護:透過(guò)IBM Security Guardium確保數據庫的數據資料安全,并透過(guò)IBM Network and Endpoint Protection保障網(wǎng)路設備與終端設備的安全性。
