技術分析:定位和保護企業最重要的數據
企業數據繼續得到保護
不管什么類型的企業,信息都是最有價值的資產之一,無論對于你還是攻擊者。近日發生的這些數據泄漏事故,從索尼到Epsilon,再到Heartland支付系統,我們必須弄清楚我們有哪些重要數據,相關風險程度,以及如何保護這些數據。在我們部署任何措施之前,我們必須知道我們有哪些重要數據,它們存儲在什么位置。找到這些數據的位置可能很簡單,也可能非常復雜,這取決于你的企業。
第一個步驟是列出所有企業處理的重要數據類型:員工個人信息、客戶的身份信息、卡持有人數據、醫療記錄以及企業知識產權信息,例如源代碼和交易信息等。這些數據類型對不同的公司有著不同的風險,例如,如果你是一家軟件公司,丟失源代碼比丟失外部合規數據要嚴重得多。
當你確定這些重要數據后,不可避免地,你會發現這些數據都存儲在不合適的位置,例如信用卡信息位于服務器的臨時文件目錄,這樣非常危險。搜尋重要數據的最佳方法是掃描和監控,企業中的大部分數據都會留下蛛絲馬跡可供搜索。例如,信用卡號碼和社會安全號碼都是按照預定格式存檔的。
有很多方法可以幫助你搜索這些數據,從OpenDLP到簡單的Perl、PHP和Python腳本。自定義數據類型,例如源代碼,通常可以使用添加到代碼的header信息來搜索;或者搜索代碼中常見字符串,例如變量名等。
如果你的源代碼的每個文件中沒有獨特的可識別的信息,那么就向每個文件添加獨特簽名,以用于日后搜索。這個過程可以通過源控制軟件進行自動化操作。利用OpenDLP或者商業替代產品來執行搜索是一個不錯的開端。當然OpenDLP是以windows為中心的,所以還可能需要其他解決方案。
如果你需要搜索的數據是不常見格式呢?很簡單,找到模式,利用你最喜歡的正則表達式助手,例如Reggy(適用于OS X),或者調用regex并建立你自己的regex來減少誤報。在搜索中,你會遇到兩種類型的數據:結構化數據和非結構化數據。
在這些數據中,將會有無數種格式,這些格式將是您搜尋的禍根。結構化的數據是以已知的格式存儲的數據,如在數據庫中。非結構化數據是以不可預知或不同的格式存儲的數據,如Word文件,文本文件,Excel文件,或任何其他隨機格式。搜索純文本文件,XML文件,數據庫是非常簡單的,您連接到數據庫,并在每個表或文件進行查詢。
檔案文件、Word文件,文本文件和存儲在外面的數據會造成問題,更不用提沒有很好存儲的數據類型。如果你試圖運行你自己的解決方案,然后使用Perl、Python、Java,以及其他提供常見文件格式庫的其他語言。所有商業數據丟失防護和搜索產品也可以識別常見文件格式。
如果你的數據存儲在云中呢?很多企業對存儲在外部的數據沒有很好的可見度,無論是云服務供應商或是第三方服務。找到云服務中的數據,你可以使用不同的方法,這取決于服務供應商,你應當選擇符合你和服務供應商或合伙人共同利益的方法。
首先,確定正在使用的服務。與企業各部門負責人列出正在使用的第三方服務。你會發現有些服務使用并不恰當,了解企業使用的服務后,要確定適合每個部門的服務。最好的開始就是監測網絡中的數據模式。使用regex,將其添加到你的IDS或者IPS,或者安裝一個數據丟失防御解決方案來監控網絡流量中的重要數據。如果服務使用了加密,那么你可能看不到,但這是一個很好的開頭。
當我們共享或者轉移數據的時候,我們需要知道數據已經受到保護,在這個過程中,你可能會發現未經批準或者未知服務以及數據轉移。你會驚訝的發現通過電子郵件、即時通訊、FTP和HTTP傳輸出去的數據。
如果你不能發現數據穿越網絡,你怎樣找到外包服務中的數據?你有幾個選擇,雖然這些方法都不完美。首席,如果服務有API可以用于搜索數據,那么可以使用IDE,來使用腳本來搜索服務,報告發現的數據,或者采取措施。
如果沒有API,或者如果沒有編碼的技能,那么則可以選擇手動搜索和審計。以管理員身份登錄并對存儲的數據進行查詢,可以獲取相同的結果,只是需要耗費更多時間和資源。在搜索的過程中,你會發現兩個問題:如何可以避免這些數據被存儲在如此多的位置?如何保護這些已經發現的數據?
保護數據將有助于控制流量。每種類型的數據的丟失都會對企業構成不同的風險,理解每種數據類型的風險,采取適當的措施來降低風險。如果數據非常重要,那么將需要加密和或限制訪問。將訪問權限限制給那些需要訪問數據的用戶,訪問權限人數越少,風險就越低。訪問控制適用于文件、目錄、數據庫或者應用程序。
為重要數據確定了合適的存儲位置和限制訪問權限后,下一步就是加密。加密包括很多種,從文件級別的加密到全盤加密。現代數據庫管理系統支持本地加密,再結合外部密鑰管理產品,就可以建立一個堅固的加密解決方案。
如果出于某些原因,這種方法不適用于你,還可以選擇文件系統水平的加密產品,這樣你可以控制哪些進程和哪些用戶被允許訪問解密的數據。永遠不要忘記向用戶提供加密數據的方法,當進行本地存儲或者網絡存儲時,這非常有必要。使用商業全盤加密產品是適用于本地加密的解決方案;在某些情況下,開源TrueCrypt也可以勝任。全盤加密很安全,但是也有人抱怨全盤加密很耗費資源,因為有些文件沒有必要加密。
部署了訪問權限控制和加密后,現在我們需要對未經授權訪問進行監控。如果我們的網絡監控沒有抓到傳輸數據的人,那么與存儲位置相關的訪問日志就可以幫助我們識別。在確定和保護了存儲重要數據的位置后,是時候清理那些不適當的位置。確定這些位置,向持有人發送通知,共同努力將數據轉移到批準的位置。
最后一件事情就是保存和歸檔。請確保企業保存了數據類型,控制類型,以及哪種數據類型應該存儲在哪里,這樣既能確保安全,又能靈活使用。數據保存是保護重要數據的關鍵因素。降低數據風險的最簡單的方法之一就是收集和保存企業真正需要使用的數據。清理不需要的數據,或備份且存儲在離線狀態。
數據存儲對于企業來說是個很重要的話題,定位企業內和外部服務存儲的數據并不是簡單的工作。需要查找很多位置,使用很多技術。從小事做起,學習關于數據使用、存儲和類型,然后慢慢解決問題。
【編輯推薦】
