怎樣才能最有效地盡量減小數(shù)據(jù)泄密事件帶來的負(fù)面影響？

數(shù)據(jù)泄密是公司企業(yè)不得不面臨的嚴(yán)峻現(xiàn)實。但是除了準(zhǔn)備好一項數(shù)據(jù)泄密響應(yīng)計劃外，IT部門怎樣才能最有效地預(yù)防和緩解數(shù)據(jù)泄密事件嗎？不妨從這里開始：

1. 落實一項到位的信息安全計劃。

據(jù)身份竊取資源中心（Identity Theft Resource Center）最近所作的一項調(diào)查顯示，2011年的數(shù)據(jù)泄密事件中絕大多數(shù)是由黑客引起的；而在2012年的頭一個月，新的泄密事件似乎多半也是由黑客引起的。

2. 實施強密碼機制。

本月初早些時候，神出鬼沒的黑客團伙TeaMp0isoN將一份清單上傳到了Pastebin網(wǎng)站，這份清單里面有大約80名T-Mobile雇員的用戶名、密碼、電子郵件地址、電話號碼和密碼。值得關(guān)注的是，許多T-Mobile員工的密碼只是簡單的“112112”或“pass”——如果說它們還算是真正的密碼的話。在發(fā)到Pastebin的帖子中，TeaMp0isoN毫不留情地指出密碼顯然缺乏多樣性。據(jù)說該團伙與國際黑客組織Anonymous共同策劃了近期一場名為羅賓漢行動（Operation Robin Hood）的活動，入侵眾多信用卡帳戶，將非法所得錢款捐給了需要的個人或組織。“看一看這些密碼吧，真的太失敗了。所有密碼都通過一名管理員，手動發(fā)給了員工，而這名管理員使用一組同樣的密碼。”

3. 隱藏泄密事件，后果自負(fù)。

賽門鐵克本月初證實，本月早些時候黑客泄露諾頓軟件源代碼，確有其事。但是賽門鐵克對這起事件作了低調(diào)處理，聲稱來自其兩款舊產(chǎn)品：Endpoint Protection 11.0和Antivirus 10.2的代碼是由于第三方而被竊取的。換句話說：這是舊代碼，沒什么看頭，大家不必理會。

據(jù)路透社報道，可是僅僅過了兩周后，賽門鐵克就坦白承認(rèn)：旗艦產(chǎn)品諾頓軟件的代碼早在2006年就被竊取了。這就加大了這種可能性：早在那時擁有諾頓源代碼的任何人都也許找到了方法，利用賽門鐵克的安全軟件來危及用戶的機器。

4. 慎重評估通知泄密事件的速度。

企業(yè)發(fā)現(xiàn)泄密事件后，必須處理好以下兩個方面的關(guān)系：一個是需要盡快收集大量信息，另一個是及時發(fā)布內(nèi)容明確的通告。Ted Kobus是美國貝克豪思律師事務(wù)所（Baker Hostetler）的隱私、安全和社交媒體團隊全國負(fù)責(zé)人之一，他在博文中表示：“確保透明是與客戶和監(jiān)管部門保持暢通關(guān)系的關(guān)鍵；務(wù)必要確信你事先已明白泄密事件的影響范圍，然后再公布也不遲。”

5. 事先要料到數(shù)據(jù)可能會泄密。

為什么不為這種最糟糕的情況作好計劃：貴公司存儲的所有數(shù)據(jù)都泄密了。如果這樣，接下來會發(fā)生什么？怎樣才能最有效地預(yù)防這種情況？知名調(diào)研機構(gòu)加特納集團的調(diào)研主任Lawrence Pingree在接受采訪時說：“說到安全，沒有什么靈丹妙藥；所以你需要為難免會發(fā)生的數(shù)據(jù)泄密作好計劃。泄密后如何應(yīng)對將至關(guān)重要，而不是僅僅通過法律賠償和信用監(jiān)控來彌補。大多數(shù)公司在這些數(shù)據(jù)泄密事件過后提供信用監(jiān)控服務(wù)，但是這些服務(wù)大多數(shù)只持續(xù)一兩年，誰說數(shù)據(jù)會在一兩年內(nèi)消失？”

6. 加密所有敏感數(shù)據(jù)。

如果泄密的數(shù)據(jù)之前經(jīng)過了加密，數(shù)據(jù)泄密通知法律準(zhǔn)許公司企業(yè)可以不必發(fā)布通告。因而，只要有可能，就要加密所有傳輸中的數(shù)據(jù)以及靜態(tài)數(shù)據(jù)。貝克豪思律師事務(wù)所的Kobus說：“加密不僅僅是一項安全手段，還是客戶和監(jiān)管部門認(rèn)為應(yīng)該具備的手段。”

7. 讓你自己的數(shù)據(jù)過期作廢。

如果失竊的數(shù)據(jù)沒有失效日期，那么公司就要自行刪除自己的數(shù)據(jù)。去年黑客竊取了過時的客戶信息后，加拿大本田公司和索尼都遭了殃，因為這兩家公司都沒有及時刪除這些信息。豐田公司的泄密事件似乎致使該公司違反了加拿大的隱私法；該國隱私法要求公司刪除不再需要的任何個人信息。不過，大概所有公司都應(yīng)當(dāng)遵循這個做法。

8. 提防社會工程學(xué)會伎倆。

說到竊取敏感數(shù)據(jù)的成本低、影響力大的花招，攻擊者在社會工程學(xué)攻擊這個方面已變得相當(dāng)老到。Kobus說：“攻擊者想出了新花樣，利用社會工程學(xué)工具非法獲取個人信息。”因而，要不斷培訓(xùn)處理敏感信息的所有員工，教他們學(xué)會檢測和抵制欺騙性的電話和電子郵件，包括魚叉式網(wǎng)絡(luò)釣魚（spear-phishing）攻擊。

9. 要求數(shù)據(jù)發(fā)現(xiàn)服務(wù)。

泄密的數(shù)據(jù)往往最后出現(xiàn)在從黑市信用卡詐騙網(wǎng)站到對等網(wǎng)絡(luò)的各個地方。雖然從理論上來說泄密的數(shù)據(jù)可以清除，但前提是先得找到數(shù)據(jù)。因而，預(yù)計相關(guān)的商品化服務(wù)很快就會隨之而來。Pingree說：“將來的策略就是……請服務(wù)商追查泄密的數(shù)據(jù)，并且讓企業(yè)客戶了解數(shù)據(jù)位于何處。”

他說：“連谷歌也可能涉足這種技術(shù)。谷歌具有搜索功能，它只要開始分析數(shù)據(jù)、檢索數(shù)據(jù)，就能夠比較主機數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)，然后將對等網(wǎng)絡(luò)添加到檢索對象中。”雖然目前市面上還沒有這類服務(wù)，但是由于層出不窮的數(shù)據(jù)泄密事件絲毫沒有停下來的跡象，預(yù)計不久會看到這類服務(wù)涌現(xiàn)出來。

原文鏈接： http://www.informationweek.com/news/security/attacks/232500394