2017年的數據洩露帶給我(wǒ)們的經驗與教訓

發布日期:2018-01-02首頁 > 安全資(zī)訊

今年,我(wǒ)盡自己所能協助各大(dà)企業和組織處理了很多安全事件。就我(wǒ)個人的經驗來看,我(wǒ)所觀察到的東西跟2016年的情況幾乎沒有什麽區别。其中(zhōng),以下(xià)兩個因素會對安全事件産生(shēng)重要影響:

  1、過度暴露高風險機密-這種因素是導緻嚴重安全事件發生(shēng)的主要原因,很多影響嚴重的事件都具備這種特征。

  2、受害用戶的可用日志(zhì)-它既是幫助組織從攻擊事件中(zhōng)快速恢複的良藥,也是導緻用戶重要憑證信息被盜的“罪魁禍首”。

而在這篇文章中(zhōng),我(wǒ)将給大(dà)家提供一(yī)些新的觀點,并跟大(dà)家一(yī)起從2017年所發生(shēng)的數據洩露事件中(zhōng)吸取經驗和教訓。

  優秀的安全團隊需要知(zhī)道自己的“戰場”在哪裏

對于“跨多個公司間安全團隊協同合作”這個概念而言,今年絕對是一(yī)個重大(dà)突破和勝利。其中(zhōng),最典型的案例就是OneLogin以及Cloudbleed的數據洩露事件。

擁有優秀網絡安全團隊的公司數量正在迅速增加,而且他們也逐漸能夠理解和區分(fēn)各自客戶代表給他們反饋回來的各種不同的安全信息了。

雖然很多公司在遇到數據洩露等安全事件時,沒有辦法去(qù)适當的處理。但很多公司會選擇進入“響應模式”,然後跟其他團隊分(fēn)享事件信息,并讨論如何緩解安全事件所帶來的影響(包括告訴客戶如何采取相應措施來保護自己)。因此,更加緊密的信息共享讓這些團隊能夠更加快速、有效和自信地處理安全事件了。

  應對方案

“出去(qù)走走,多交些朋友。”你可以多去(qù)各種社區逛逛,多跟競争對手的安全團隊交流,分(fēn)享各類安全事件的處理過程,努力成爲社區中(zhōng)一(yī)名優秀的成員(yuán)。


705-1P102141UN00.jpg
 

  記者跟公司雇員(yuán)之間的直接聯系越來越多

在我(wǒ)看來,各種告密以及内幕洩露也成爲了今年的一(yī)種趨勢。今年很多公司都發現,越來越多的記者開(kāi)始通過社交媒體(tǐ)平台或者加密聊天應用來跟企業雇員(yuán)進行頻(pín)繁的聯系,而這些記者往往會直接跟他們詢問一(yī)些非常“敏感”的信息,尤其是一(yī)些涉及到企業業務計劃和新産品的相關内容。

這種情況跟我(wǒ)在前幾年見到的有些不同,因爲企業員(yuán)工(gōng)跟外(wài)部的這種“接觸”變得越來越頻(pín)繁,而且針對員(yuán)工(gōng)的垃圾郵件也越來越多,這将會大(dà)大(dà)增加員(yuán)工(gōng)洩露重要機密數據的可能性。

  應對方案

企業和組織應該盡可能地限制這類“交流”的發生(shēng),并要求員(yuán)工(gōng)按照“無可奉告”政策來行事。如果不得已需要跟記者或媒體(tǐ)聯系的話(huà),請一(yī)定要構建一(yī)種可信的通信渠道,這樣做有兩個好處:首先,這樣可以從某種程度上降低數據洩露發生(shēng)的可能性;其次,當數據洩露發生(shēng)的時候,你可以迅速知(zhī)道數據的洩漏源。


705-1P102141Z9E2.jpg
 

  短信跟身份認證之間的那些事兒

目前,很多在線服務以及應用程序都允許用戶通過短信來重置賬戶密碼。如果攻擊者知(zhī)道了驗證短信的内容,那你就危險了。

目前有多種方法可以幫助攻擊者獲取到目标用戶的驗證短信,而絕大(dà)多數方法都涉及到對通信運營商(shāng)進行社會工(gōng)程學技術。攻擊者可以将電(diàn)話(huà)号碼轉移到其他運營商(shāng),并攔截目标短信。或者說,他們可以注冊同一(yī)運營商(shāng)旗下(xià)的SIM卡,然後實現短信攔截。而他們的這些攻擊技術同樣适用于基于Web的短信。

  應對方案

爲了徹底解決這種安全問題,我(wǒ)們應該想辦法用其他類型的認證方式來替換掉基于手機短信的驗證方式。除此之外(wài),在企業和組織的日常安全培訓中(zhōng),我(wǒ)們也應該培養員(yuán)工(gōng)對這方面的安全意識。


705-1P102141940393.jpg
 

  有時我(wǒ)們唯一(yī)的敵人就是我(wǒ)們自己開(kāi)發的代碼

其實,有很多安全事件都是企業或組織自身問題所導緻的。這些事件可能是程序的代碼或者基礎設施的配置不當所導緻的,因此這裏并不涉及到外(wài)部人員(yuán)的惡意攻擊。這類事件并沒有什麽神秘可言,而一(yī)切都可以通過相當具體(tǐ)的調查任務來發現漏洞的成因。

在事件調查的過程中(zhōng),通常需要法律顧問,通信團隊,甚至是某些特殊用戶的參與。除此之外(wài),安全應急團隊還需要重新審查自己的開(kāi)發細則以及合同條款,并弄清楚開(kāi)發團隊在開(kāi)發過程中(zhōng)有哪些未盡的“職責”,并調查所有未授權的訪問嘗試。與此同時,安全工(gōng)程師将需要進行各種單元測試,并避免将來出現類似的安全問題。

  應對方案

每一(yī)個企業和組織都應該根據自己的情況來設計出合适的安全應急響應方案以及取證分(fēn)析方案,否則曆史很可能會重演。需要注意的是,如果不對自己的基礎設施(例如代碼和服務器等等)進行定期技術檢測的話(huà),你很可能會因爲其中(zhōng)潛在的安全問題而陷入困境。

  總結

今年的情況其實跟去(qù)年沒多大(dà)區别,但這件事情本身就應該是一(yī)次“教訓”。既然去(qù)年已經出現過類似的情況或者發生(shēng)了類似的事情了,那爲什麽今年還會“曆史重演”呢?因此,我(wǒ)們應該将注意力放(fàng)在更加有效的風險管理方案身上。

如果我(wǒ)們更願意和大(dà)家分(fēn)享手中(zhōng)的信息和資(zī)源,我(wǒ)們将能夠構建出更多的威脅模型,并将它們應用到各類場景之中(zhōng)。

我(wǒ)之所以寫這篇文章,主要是因爲我(wǒ)發現整個行業在處理安全風險的路上有些偏離(lí)方向了,因此我(wǒ)在2018年即将到來的時候,在這裏跟大(dà)家探讨一(yī)下(xià)未來的應對策略。

上一(yī)篇:愚蠢的”記住“密碼方式終于還是出了問題

下(xià)一(yī)篇:生(shēng)活在蜘蛛網中(zhōng)的我(wǒ)們到底是安全還是不安全