應對數據泄露 安全體系建設是王道
近期俄羅斯黑客活動的新聞滿天飛舞,尤其是對“Grizzly Steppe”的不實報道,甚至是娛樂化,給網絡安全這一嚴肅問題造成了嚴重傷害。
如果想從當前糟糕的網絡安全狀態恢復正常,需要詳實的報道來完整揭露事件,讓政府、公司、企業和個人對網絡疏忽和運營不良負起責任。只要在報道重大網絡安全攻擊或事件時問問下面幾個關鍵問題,則可起到很好的幫助作用。
1. 公司什么時候開始注意到事件?
公司發現事件和曝光事件之間的延遲是一個重要問題,該問題已多次浮出水面。2016雅虎數據泄露就是一大例子。誰知道什么,什么時候知道的,是很嚴肅的問題。
2. 事件暗中潛行了多久?
我們知道,事件在被檢測出來前一般都已活躍了數月之久,有些甚至長達數年。這是不可接受的。激勵公司投資網絡攻擊預防和檢測的一個方法,就是提高他們的責任標準。
3. 控制損失和從事件中恢復過來耗時多久?調查事件根源和恢復系統期間還發生了額外的泄露或入侵嗎?
這是個大問題。很多公司的高級經理會提前終止對事件根源和完整范圍的調查,優先進行系統恢復。這往往會造成對必要鑒證數據的破壞。
4. 有沒有客戶、雇員、客人或其他什么人的個人信息被曝光了?如果沒有,你怎么確定的?
大大小小的公司基于薄弱證據,就發布空洞聲明稱沒有個人信息被泄露。這種事太常見了。有些公司的標準則是:只要沒有明顯證據表明數據被他人獲取,就不會承認有此類數據泄露的可能性。盡管很多公司是匆忙恢復系統時破壞了這些證據,這種現象還是很盛行。記者應敦促公司企業明確斷言,為什么他們確信數據沒有,或已被泄露。
5. 事件是怎么發生的?用戶過失或惡意活動?服務器或終端沒打補丁?公司有沒有恰當的訪問系統(網絡和身份驗證)?
大多數黑客活動都起始于社會工程。DNC黑客事件、2015烏克蘭斷電事件和其他很多事件都是從網絡釣魚郵件、帶惡意軟件的故意掉落U盤、釣魚電話或真人拜訪開始的。其他是因為缺乏基本網絡衛生和恰當的安全控制、審計和員工。
6. 有專職網絡安全團隊或托管安全服務提供商嗎?
很多公司都沒有恰當投資安全工具和安全人員來正確安裝、調試、管理和換代IT安全系統。這是個直接反映出公司高級管理層和董事會對待網絡安全態度的問題,顯示出他們在沒出事前對安全問題有多關心,或者多不關心。
7. 有網絡安全事件響應計劃嗎?如果沒有,為什么?如果有,最近一次測試是什么時候?在本次事件中起到作用了嗎?
網絡安全響應計劃就像消防栓,需要經常演練、加強、檢查和改進。有個全面的經檢驗的計劃,是公司盡職的標志。
8. 信息技術支出在公司全部預算中占比多少?有多少是花在了網絡安全上?
有了專職員工和響應計劃,做出恰當的網絡安全投資,就是公司網絡安全重視程度的證明了。這個問題沒有固定的正確答案,各家公司情況不同。但不知道自家網絡安全支出占比的公司,就沒有成熟的網絡安全項目以衡量投資有效性。對上市公司而言,知道他們花了多少,意味著管理層嚴肅對待網絡安全問題,而不是無休止的董事會爭論又不產出任何實際行動。
9. 高管和董事會定期接到網絡風險簡報和建議嗎?
這個問題直接反映網絡安全監管狀況,與安全文化、意識和技術,并稱健康網絡安全項目四大關鍵成功因素。
10. 網絡安全意識培訓是公司全員強制的嗎?培訓定期進行,反復進行嗎?
絕大多數網絡安全事件都有人為失誤的因素,所以,針對網絡攻擊的最佳防御,就是全體員工都知情良好,全民參與。全員強制的正式網絡安全意識培訓項目的缺失,是一個關鍵但太常見的問題,顯露出公司沒有嚴肅認真地對待網絡安全。
【本文是51CTO專欄作者李少鵬的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
