2018安全形勢預測及建議:數據推動產業發展,確保其完整性是實現安全的關鍵
對于企業來講,要說2017年是充滿挑戰的一年,未免太輕描淡寫。人類社會高度互連,對于企業來講,網絡攻擊并非遙不可及之物,它就在前方可見之處,需要我們有預案予以防備。所有企業,都應該保有一定水平的“網絡潔癖”,需要定時備份數據、為其系統及應用打上補丁、盡量縮小其數字資產的受攻擊面。
2018年,我們仍然需要借助新技術來變革我們的經營之道,這就有必要對相關安全顧慮有所周知,從而降低風險,甚至可以不采用技術便可實現這種變革。我們需要對現有的和潛在的風險有所了解,并且知曉如何做才能減少或者消除這些風險,只有這樣我們才能時刻保持警戒之心,想網絡罪犯之所未想,做網絡罪犯之所未做。
1. 云就是別人的電腦,保護信息安全要常抓不懈
近日新聞中,“第三方云存儲”這個字眼被反復提及,尤其是亞馬遜的簡易存儲服務(Simple Storage Service, S3)。在AWS服務中有一項名為“bucket”的功能,它是AWS云服務中用于在線數據存儲的容器,用于存儲敏感信息。
已經有企業因為錯誤配置AWS S3 bucket功能而泄露敏感信息的案例。最近幾個月中,信息泄露案件層出不窮,這些遭泄露的信息包括:敏感文件、密碼、家庭住址、客戶數據庫以及超過1.8億美國選民的個人信息。這些泄露事件,都是因為S3 bucket配置錯誤引起的,任何人都可以通過網絡自由獲取這些數據。
Bucket可以進行特定安全設置,這也是泄露問題的癥結所在,究其原因,乃為人禍。
與其他云供應商一樣,AWS遵循的是共享安全責任模式,即亞馬遜負責云端和基礎設施的安全,其中包括:網絡、存儲以及計算。而另一方面,云上數據的安全則是由客戶負責。當你開放數據給所有人時,一旦數據泄露,很明顯錯在客戶一方而不是AWS。這種現象絕非AWS僅有,其他云平臺或者數據資源庫也會遇到同樣的問題。
現在,企業所普遍面臨的挑戰是:是否有必要開放bucket以供外界瀏覽,從而導致數據自動曝光。這種操作風險巨大,原有數據很可能會被覆蓋。一旦有黑客鎖定了那些可以進行修改的bucket,他們就有能力上傳惡意軟件到bucket里并重新寫入文件。此外,如果你將代碼存入此類資源庫,其他人就有機會對其進行篡改。
現在,利用網上的一些工具,黑客們就可以輕松的使用關鍵詞搜索到企業的bucket,如果正巧這個bucket已經開放為可讀/可寫,那黑客們就很容易對這個bucket進行修改。
現在,大多數企業已經著手或者開始向云端存儲數據、向云端遷移或者安裝各類應用,這就要求每個企業必須能夠查閱并確認究竟是誰在訪問他們的數據或者應用,并且能夠基于近期發生的事件,預見到是否會有人來查閱他們的數據。但如何進行風險管理,還是需要企業自己來完成。因此,企業應該深入思考以下問題并獲得答案:
· 有哪些敏感數據在云端存儲?數據泄露會帶來哪些影響?
· 在貴單位員工和第三方合作伙伴里面,誰有權限可以直接訪問到這些敏感數據?
· 這些數據是如何受到保護的?貴單位采取的保護措施能否滿足消除風險所需的安全等級?
2. 數據推動產業發展,確保其完整性是實現安全的關鍵
信息安全的基本原則包括:保密性、完整性和可用性。
傳統意義上來講,大多數攻擊所針對的還是保密性和可用性:攻擊者采用攻擊或偷竊等方式來獲取知識產權或者數據,以及然后實施拒絕服務攻擊,阻止用戶訪問相關信息和系統。企業運作是如此依賴保密性和可用性這兩點,以至于我們常常忽略了另外一點:完整性,而這一點所面臨的挑戰相較前兩個有過之而無不及。
數據是新的推動力。它推動著企業向前發展,橫掃從企業運行到政府機關推行新政等一切領域。現在,數據偷竊所帶來的風險已經為大眾所熟知,但黑客正在改變竊取數據的方式,不是簡單的將數據清空而是對數據進行篡改,這種危害性往往更大。
保持數據完整性,就是要確保只有授權用戶才有資質訪問相關信息或者對其進行修改。針對數據完整性的攻擊,就是要破壞掉這種唯一性,讓黑客可以在未經授權的情況下訪問并修改這些數據,進而滿足一己之私,如獲得經濟利益、損毀名譽或者僅僅讓這些數據變得一文不值。
在金融市場,錯誤數據必將帶來致命一擊甚至導致市場崩盤。比如,通過修改銷售數據引起公司股票行情波動。此外,提供公共服務的部門、智慧城市以及其他IoT系統,從交通信號燈到供水系統,如果這些部門和系統運行所依賴的數據被篡改,其結果必將是混亂和致命的。
所有企業都應該從現在就開始探討如何做才能有效阻止此類攻擊的發生。總結起來包括:
教育員工和客戶如何操作才能實現安全,確保個人數據得到有效保護。這有助于加深員工對如何保護公司數據的理解。
要熟悉你的數據,它是如何生成的,如何采集的,數據中哪些內容是最為敏感的。在開始考慮如何保護這些數據之前,更重要的是要對你所要保護的數據做一個全面的了解。
借助多因子認證,提供額外安全層次的防護來保護用戶名和密碼。這一安全措施將唯你“所知”和“所有”的特殊因素引入,而不僅僅是通用模式比如密碼。
利用加密技術來保護敏感數據,不論它是部署在本地,還是部署在云端或者在混合環境中。一旦有人膽敢竊取這些如同“王冠上的珠寶”一樣珍貴的敏感數據,或對其進行破壞和篡改時,我們要有能力對產生的影響加以限制。加密是唯一的可采取的戰略性管理方法。但企業要確保密鑰的安全,需要采取一定的措施,比如將其存儲于安全的硬件模塊中。換句話說,哪怕你用的是世界上最好的門鎖來鎖你的房子,但如果你把鑰匙藏到了地墊下面,而恰好被在此經過的家伙看到并偷走,這樣也是不安全的。
