信息安全问题,是牌匾上凌厉的“生人勿近”,一旦遭遇,企业就只能自求多福?!
现实世界中,企业面临的安全威胁种类繁多,但真正的危险,是企业以为自己本身足够安全,殊不知威胁早已渗入内部,伺机而动。
全球最大的婚外恋网站Ashely Madison被黑,多国政客及许多世界顶级公司的高管也名列其中,随后他们相继离职,虽是一时的心猿意马,但信息安全问题使他们身败名裂。
美国零售商巨头Target 2013年才刚在九月拿到PCI-DSS合规认证,但在11月就被攻击,并在两个月内约有1.1亿用户数据遭到泄露,其中不仅包括用户个人信息,甚至连神秘的卡后三位数字也昭然若揭,买卖信息及盗刷一时点燃了整个黑市的热情,最终Target CEO引咎辞职,但企业数据泄漏对用户的影响还在持续。
也不是只有普通的企业表示对信息安全问题很是无奈,就连”黑市“也上演着一幕幕黑吃黑的戏码。意大利Hacking Team 虽以黑客专家自称,但也不慎反遭同行黑入数据库,导致大量军火数据外泄,这次信息安全问题是否会照入现实引起战争浩劫,让人不敢深思。
企业安全事件越来越多,甚至越来越得不到有效的控制……
以下有几组骇人的数字:
15,000,000,000(不用数几个0了,150亿)——这是IBM每天需要为客户处理的信息安全时间总量。(源于IBM2014年度报告)
3,790,000美元——这是今年数据泄露事故所造成的企业平均损失,这个数字去年是3,250,000。(源于 IBM与Ponenmon Institute 2015年5月份所做的调查)
25%——这是2014 年企业被入侵记录总数较 2013 年增加的幅度,而2013 年泄露的记录为 8 亿条。(源于IBM X-Force 第二季度报告)
每年IBM X-Force报告都会总结出最新的安全趋势和威胁信息,而在2015年度前两个季度发布的报告来看,企业现阶段面临的信息安全问题无非就是来自外部和内部,虽然源头不同,表现形式不一,但对企业来说,同样致命。
外部-危机重重:
从IBM X-Force第一季度的报告可以看出,企业正处在一个水深火热的网络世界之中,2014年大部分的安全事件活动主要都围绕三个领域展开:数字世界隐私、基础漏洞和安全基础知识缺乏。
数字世界隐私:企业在某种程度上信任通信和数据储存服务供应商,认为他们已经采取了足够的安全防护来保障隐私。但是2014年频发的安全事件却证实,尽管主要安全入口点已得到妥善保护,但外部攻击者依然会设法寻找其他方法进行攻击。例如:用户储存在云上的敏感照片遭受曝光。单纯的用户总是善良地用简单强关联的字符作为登陆网站的密码,而躲在暗处的黑客洞悉这一切后,通过暴力破解可轻松盗取照片,大庭广众之下“晒成就”。
基础漏洞:互联网上有超过10亿个网站,这一数字还在逐日递增。但大多数网站都依赖相同的操作系统、开源库和内容管理系统(CMS)软件,这将企业曝露在战火之中,因为一旦有安全漏洞披露,这影响的不仅是一个基础系统,而是千千万万个,导致大量网站遭到利用。对几乎所有的网站而言,外部攻击者都可以利用基础漏洞,发布恶意软件或僵尸程序,大规模感染企业服务器。
安全基础知识缺乏:密码是获取信息的通关密语,同样也是遭受攻击的软肋。至今为止,密码还是导致企业数据泄漏的一个主要因素。无论是可预测的弱密码,还是反复在多个站点使用的重复密码都让外部攻击这有机可乘。当然,还有部分企业中仍在使用默认密码,去年大批零售企业信息的泄漏就是攻击者通过远程方式访问销售点的POS机,轻松截取信息。可以看出,更改默认账户密码等基本安全措施仍未得到充分实施
内部-防不胜防:
不管是无心之过还是蓄意而为,内部威胁都有可能会对企业最具价值的资产造成巨大的破坏。
近几年垃圾电子邮件逐渐成为破坏者传播恶意软件的渠道,并开始尝试利用恶意软件入侵机器。企业内部危险意识不强的员工,可能在有意无意间点开网络钓鱼电子邮件中发送的恶意链接,而间接帮了攻击者的忙;
对于大部分企业来说,“内部威胁”曾经意味着心怀不满或粗心大意的员工对公司的物理或电子资产造成的伤害。 随着过去十年间企业间谍活动不断升级,现在要保护资产的安全,还需要考虑到各种各样的情况。比如当有情绪的员工离职后很可能出现严重的数据外泄事件,离职员工在离开公司前可能已建好了“后门”,一旦他进入了新公司就可能会启用这个后门,从外部访问隐藏的账户或敏感数据。
当然,还有那些“准公司内部人员”,像受信任的第三方承包商也极有可能成为安全事件的罪魁祸首。这些人员并不固定,比如电工、建筑工人、电话维修人员等。Target数据泄漏事件的原因就是因为滥用了这种第三方访问权限,使得攻击者有机会常常盗取凭据并得以访问网络。
无论是事件发生频率及数量的急速增长,还是企业内外威胁交加,信息安全问题已是各企业现在面临的最为严重的疫情,如同2003年的SARS悄无声息却致命地迅速在企业间蔓延。那么,这场疫情的特效药是什么?
确定企业的核心资产并加强保护+提升企业全面的安全架构能力
核心资产的确定需要因行业与企业特性不同,而在安全架构能力提升方面,以下建议或许对企业有帮助:IBM XForce研究与开发团队于日前公布的2012年至2014年安全事件回顾报告提到了恶意份子的攻击手法与对象已从早期的金融诈欺转变为不分行业的进阶持续性渗透(Advanced Persistent Threat;APT)攻击,因此,传统的安全防护架构将无法有效抵御、防堵安全威胁,建议企业从安全治理(Security Intelligence & GRC)丶生命周期管理(Identify Lifecycle)丶数据(Data)丶应用 (Application)与基础架构(Infrastructure)等五个面向着手打造安事件管理平台(Security Information Event Management;SIEM),有效侦测与防堵各式安全威胁:
安全治理:透过整合威胁分析服务(XFTAS)等多种功能服务,落实风险管理、弱点管理、配置管理、事件管理与可视化管理,有效防堵大型的分散式APT等攻击;
权限生命周期管理:透过身份访问管理功能定期为关键数据库等系统更新密码,以及依据员工自动调整帐号权限;
数据管理:以Guardium database安全及稽核工具结合IBM QRadar侦测并分析当前活动是否涉及任何安全威胁;
应用程序查漏:IBM AppScan检测应用程式原始码与应用程式框架安全性,并且针对Web应用程式进行弱点扫描以及提供安全漏洞评估与安全建议;
基础架构保护:透过IBM Security Guardium确保数据库的数据资料安全,并透过IBM Network and Endpoint Protection保障网路设备与终端设备的安全性。