如何避免數據存儲安全存在五大災難?
計世網
摘要: 想想你能猜出存儲數據安全面臨的第一大威脅是什么呢?如果你說是黑客或者惹事生非的公司內部人員,那你就錯了。盡管惡意威脅是個老大難問題,但出于好意的員工更有可能在無意中泄露貴公司的存儲數據,比如通過文件共享網絡或丟失的筆記本電腦泄露數據。
Abstract:
Key words :
想想你能猜出存儲數據安全面臨的第一大威脅是什么呢?如果你說是黑客或者惹事生非的公司內部人員,那你就錯了。盡管惡意威脅是個老大難問題,但出于好意的員工更有可能在無意中泄露貴公司的存儲數據,比如通過文件共享網絡或丟失的筆記本電腦泄露數據。
實際上,安全咨詢機構波耐蒙研究所(Ponemon Institute)的一項近期調查發(fā)現(xiàn),粗心大意的內部人員無疑是數據安全面臨的最大威脅,占到了所有泄密事件的78%。
在這篇特寫報道中,你將了解一些最新的數據保護技術,不但可以保護公司內部的存儲數據,還可以保護通過筆記本電腦、磁帶及其他移動介質隨意進出貴公司的存儲數據。
遺憾的是,數據泄密事件對企業(yè)界來說已經成了一種生活方式。據美國身份失竊資源中心(ITRC)聲稱,2008年登記在案的數據泄密事件比前一年增加了47%。身份失竊專家兼加利福尼亞州歐文Identity Doctor公司的創(chuàng)辦人Craig Muller表示,而那些事件只是媒體公開報道的事件。他說:“我經常接到電子郵件,說是哪家公司發(fā)生了泄密事件。”
公眾絕對感受到了疼痛。在2008年波耐蒙研究所開展的一項調查中,美國各地的1795名成人調查對象當中超過一半(55%)表示,自己在之前的24個月里接到過至少兩起數據泄密事件通知;8%的人表示接到過至少四起這類通知。
但是公司對于如何保護自己仍然心里沒底。在波耐蒙研究所上個月發(fā)布的調查中,接受調查的577名安全專業(yè)人士當中只有16%表示,自己對目前的安全做法防止客戶或員工的數據丟失或被偷表示有信心或很有信心。
提升信心的一個辦法就是分析實際的泄密事件,并從中汲取教訓。下文剖析了五種常見的泄密事件,并且給出了如何避免類似災難的忠告。
一、設備被偷
回顧:2006年5月,為美國退伍軍人管理局工作的一個分包商在家里丟失了筆記本電腦和存儲磁盤后,有關2650萬名退伍軍人的個人數據被泄密了。后來兩樣東西都找回來了,相關人員也被繩之以法。聯(lián)邦調查局聲稱,數據沒有被竊取;但這起事件促使退伍軍人管理局進行全面整改。然而,2007年1月發(fā)生了另一起泄密事件:當時退伍軍人管理局在亞拉巴馬州的一家醫(yī)療機構丟失了一臺筆記本電腦,結果導致53500名退伍軍人和130余萬名醫(yī)生的個人數據泄密。
代價:到2006年6月,退伍軍人管理局每天花20萬美元來運營呼叫中心,答復有關泄密事件的問題。它還花費100萬美元打印及郵寄通知函。經過批準,退休軍人管理局重新劃撥了多達2500萬美元的資金,以支付這些成本。一群人還提起了集體訴訟案,包括要求為受到影響的每個人賠償1000美元。在2007年那起事件后,退伍軍人管理局另外留出了2000萬美元,以支付泄密事件有關的成本。該部門最近同意向目前及以前的軍事人員支付2000萬美元,以調解集體訴訟案。
提醒:設備丟失或被偷在所有泄密事件中占了最多的比例——ITRC表示,2008年約占20%。據律師事務所Seyfarth Shaw芝加哥辦事處的合伙人Bart Lazar表示,涉及丟失或被偷筆記本電腦的事件占了他平時接手的數據泄密案件的大部分。
教訓:Lazar建議禁止把個人識別信息放在筆記本電腦上。比方說,不要把客戶或員工的姓名與其他識別信息(比如社會保障號或信用卡號)聯(lián)系在一起;另外,你可以截短這些號碼。還有,不妨考慮使用自己的獨特識別信息,比如把某人姓名中的幾個字母與社會保障號的后四位數結合起來。
第二,要求筆記本電腦上的個人信息進行加密,盡管這么做成本可能很高(每臺筆記本電腦為50至100美元),還會影響性能。網件公司的存儲安全宣傳官、存儲網絡行業(yè)協(xié)會存儲安全行業(yè)論壇副主席Blair Semple表示,除了加密外,還需要加強這方面的意識。他說:“我見過人們能夠加密但沒有加密的情況。對信息進行加密很容易人,難就難在管理及部署方面。”
第三,Lazar建議實施政策,要求使用非常強的密碼,以保護被偷設備上的數據。
二、內部人員竊取
回顧:2007年11月,富達國民信息服務公司(Fidelity National Information Services)旗下子公司Certegy Check Services的一名高級數據庫管理員利用權限訪問,竊取了屬于850余萬個客戶的記錄。隨后,他把這些資料以50萬美元的價格賣給了一經紀人,該經紀人轉手賣給了直接營銷商。后來這名員工被判處四年以上徒刑,并處罰金320萬美元。據公司工作人員聲稱,沒有出現(xiàn)身份失竊,不過受到影響的客戶們收到了當初購買這些資料的公司發(fā)來的推銷廣告。
在另一起重大案例中,杜邦公司一名工作了十年的資深科學家下載了價值高達4億美元的商業(yè)機密,隨后在2005年年底離開公司、轉投杜邦在亞洲的一家競爭對手。據審判記錄顯示,他利用權限訪問,下載了大約22000份文檔摘要,并且瀏覽了大約16700個全文PDF文件。這些文檔涉及杜邦的大多數主要產品線,包括一些新興技術。這名科學家與那個競爭對手偷偷商談時進行了下載活動,他在接受這份差事后下載了兩個月。最后,他被判處在聯(lián)邦監(jiān)獄服刑18個月,繳納罰金3萬美元,還被判支付賠償金14500美元。
代價:在杜邦案中,商業(yè)機密的價值估計超過了4億美元,不過政府估計這家公司實際損失了大約18.05萬美元。沒有證據表明機密信息被轉移到了共同作案的那個競爭對手。
據Semple聲稱,客戶信息被竊帶來的損失幾乎總是超過知識產權被竊。以Certegy案為例,2008年達成了調解:為個人信息或財務信息被竊取的所有集體訴訟原告提供高達2萬美元的賠償,彌補身份失竊造成的某些未賠償損失。
提醒:ITRC表示,2008年登記在案的泄密事件中近16%歸因于公司內部人員。這比前一年的比例翻了一番。導致這種增長的一個原因就是,如今招聘員工的是與犯罪活動有瓜葛的外部人員——據卡內基·梅隆大學CERT協(xié)調中心聲稱,這個趨勢可解釋1996年至2007年所犯的內部人員犯罪的一半事件。
CERT表示,內部人員犯罪有兩個原因:一是為了獲取錢財(如Certegy案),另一個是為了獲得商業(yè)優(yōu)勢(如杜邦案)。CERT表示,在后者當中,犯罪活動通常在違法員工辭職后就開始了。但竊取活動通常在他們離開公司后進行的,留下了一條秘密通道,以便訪問所需數據。
Semple表示,內部人員竊取是最難對付的,特別是員工使用授權訪問時更是如此。
教訓:CERT表示,一條有效的防范措施就是,監(jiān)控數據庫和網絡訪問權限以查找異?;顒?,并設置閾值,表明不同用戶的哪些使用是可以接受的。這樣一來,如果負責某項任務的員工所做的事超出了正常的職責范圍,就比較容易發(fā)現(xiàn)。比方說,杜邦之所以能發(fā)現(xiàn)非法活動,就是因為那名科學家使用電子數據庫服務器過于頻繁。
如果懷疑發(fā)生了泄密事件,CERT表示重要的是行動要迅速,以便盡量減小信息被進一步傳播的可能性,并且讓執(zhí)法部門有機會開始調查案件。
Lazar表示,公司還應當實施基于角色的訪問控制工具,以便嚴格控制誰在訪問寶貴資產。含有客戶或員工信息的數據庫允許的訪問權應當非常有限。他說:“每天有多少人需要未經許可、查看社會保障號和地址?個人信息受到的保護級別應與商業(yè)機密一樣嚴密。”
Muller建議使用數據丟失預防工具,限制個人數據被電子郵件發(fā)送、打印或拷貝到筆記本電腦或外部存儲設備上。要是有人試圖拷貝個人數據,有些這類工具會發(fā)出警報以通知管理員,并且為這類事件建立日志文件。他說:“許多情況下,公司沒有落實合理的跟蹤記錄系統(tǒng)。”
Semple表示,加強內部控制和審計措施也很重要,比方說反復檢查網絡和數據庫活動日志。單單維持詳細的日志還不夠;你還需要落實審計措施,查看有沒有人改動日志或非法訪問日志。他說:“除非有一種方法可以核實日志信息沒有被篡改,否則就很難知道日志的重要性。”
但到頭來,光有技術還不夠。Semple說:“你要找到一種辦法來確保你所信任的用戶確實值得信任。”
三、外部人員入侵
回顧:2007年1月,零售商The TJX Companies聲稱它的客戶交易系統(tǒng)遭到了黑客攻擊。2003年至2006年12月期間多次遭到了入侵,黑客訪問了9400萬個客戶賬戶。后來發(fā)現(xiàn),有人利用竊取的信息實施了案值800萬美元的禮品卡欺詐案和偽造信用卡欺詐案。2008年夏天,11個人因與該事件有關的指控而被判有罪,這也是美國司法部有史以來提起公訴的最嚴重的黑客破壞和身份失竊案。
代價:TJX估計泄密帶來的損失為2.56億美元。這包括修復計算機系統(tǒng)以及為應對訴訟、調查、罰款及更多事項而支付的成本。這還包括因造成的損失而賠錢給維薩公司(4100萬美元)和萬士達卡公司(2400萬美元)。聯(lián)邦交易委員會下令:在接下來的20年里,TJX公司每隔一年就要接受獨立的第三方安全審計。
然而,其他人預計損失會增加至10億美元,這包括法律調解和客戶流失所帶來的損失。據波耐蒙研究所在2008年4月發(fā)布的一項調查顯示,如果某家公司發(fā)生了數據泄密事件,它就會失去31%的客戶數量和收入來源。波耐蒙研究所在最新發(fā)布的《數據泄密的成本》年度調查中還發(fā)現(xiàn),去年,泄密事件讓相關公司因泄密的每條客戶記錄而損失202美元;2007年的損失還只有每條197美元。與錯失商機有關的成本是導致?lián)p失增加的最主要部分。2008年數據泄密事件的平均成本為660萬美元,2007年為630萬美元。
提醒:據波耐蒙研究所在2008年的一項調查顯示,黑客引起的數據泄密在安全威脅方面遠遠排在了后面,僅列第五位。據ITRC聲稱,的確,2008年登記在案的泄密事件當中約14%與黑客破壞有關。不過,這并不意味著公司用不著小心翼翼。在TJX案中,黑客通過“無線搜尋”(war driving)手段潛入系統(tǒng),從而闖入了該公司的無線網絡。TJX當時用的加密技術達不到標準,又沒有在使用無線網絡的計算機上安裝防火墻和數據加密軟件。這樣一來,竊賊得以把惡意軟件安裝在網絡上,從而訪問存儲在系統(tǒng)上的舊的客戶數據,并截獲在用于核價的手持設備、收銀機和店內計算機之間傳輸的數據。
教訓:據Muller聲稱,TJX當初在其無線網絡上使用的WEP加密不夠安全——安全性比許多家庭用戶使用的加密技術還差。他說:“如果你能從停車場訪問數據庫,表明需要更高的數據安全和數據加密級別。”Muller表示,TJX還存儲了舊的客戶信息,而沒有永久刪除。
四、粗心大意的員工
回顧:輝瑞公司一名遠程辦公員工的配偶把未經授權的文件共享軟件安裝到了該員工的辦公筆記本電腦上,外人因而可以訪問含有輝瑞大約17000名新老員工的姓名、社會保障號、地址和獎金信息的文件。調查后發(fā)現(xiàn),大約15700名員工的數據被對等網絡上的別人所訪問及拷貝;另外1250名員工可能泄露了數據。因為系統(tǒng)被用來從輝瑞的公司網絡外面訪問互聯(lián)網,所幸其他數據沒有受到危害。
代價:輝瑞簽約訂購了信用報告機構的一攬子“支持和保護”服務,包括為受到影響的那些人提供為期一年的免費信用監(jiān)測服務,并提供每人價值25000美元的保單,以承擔個人因這次泄密而造成的損失。
提醒:據波耐蒙研究所的一項近期調查顯示,數據安全面臨的第一大威脅是粗心大意的內部人員,而不是居心叵測的內部人員。接受調查的IT專業(yè)人士表示,88%的泄密事件與粗心大意的內部人員有關。Muller說:“要是員工有比較強的安全意識,泄密事件數量就會大大減少。”在輝瑞案中,那名員工的配偶對文件共享軟件作了配置,結果文件共享網絡上的其他用戶就能訪問這個配偶存儲在筆記本電腦上的文件,但是別人也可以訪問輝瑞的文件。
粗心大意的用戶加上文件共享軟件帶來的危害更大。據達特茅斯學院的一項調查顯示,雖然大多數公司禁止在公司網絡上使用P2P文件共享,許多員工把共享軟件安裝在遠程和家用個人電腦上。比方說,調查發(fā)現(xiàn)30家美國銀行的員工在共享對等系統(tǒng)上的音樂及其他文件,無意中把銀行賬戶數據泄露給了對等網絡上的潛在犯罪分子。一旦商業(yè)數據被泄露,就會傳播到世界各地的眾多計算機。
教訓:首先,IT人員需要完全禁止使用P2P軟件,或者制定P2P使用政策,并且實施執(zhí)行這些政策的工具。Muller說:“輝瑞本該更全面地審查系統(tǒng),以便阻止員工安裝任何軟件。你可以取消員工的管理員權限,那樣他們安裝不了任何軟件。”他表示,培訓也很重要,那樣用戶明白P2P有哪些危害、怎樣才是良好的密碼及其他標準安全做法。
Semple強調:“極其需要教育,那樣員工就會明白我們不是存在為難他們,而是阻止危害發(fā)生。那樣他們就會明白‘這是我不能這么做的原因。’”
五、分包商泄密
回顧:2008年11月,亞利桑那經濟安全部不得不通知大約4萬個孩子的家庭:因為幾只硬盤被人從存儲服務商處偷走,他們的個人數據可能被泄密了。雖然硬盤受到了密碼保護,但沒有經過加密。該部門表示,沒有任何信息被用來實施欺騙。
代價:據波耐蒙研究所聲稱,分包商泄密造成的損失比內部事件還要慘重,每條記錄損失分別是231美元和171美元。
提醒:據波耐蒙研究所的年度調查顯示,外包商、承包商、顧問和商業(yè)合作伙伴導致的泄密事件在不斷增加,占到去年調查對象上報的所有案例的44%,而2007年為40%。在ITRC的調查中,2008年10%的泄密事件與分包商有關。
教訓:公司需要與分包商簽訂條文嚴密而具體的服務級別協(xié)議,然后確保分包商遵守協(xié)議;如果沒有遵守,就要給予懲罰。Semple表示,遇到使用備份磁帶或磁盤的情況,就要堅持采用加密和密碼保護。
此內容為AET網站原創(chuàng),未經授權禁止轉載。