2017年的数据泄露带给我们的经验与教训_申博太阳城娱乐_太阳城娱乐网址_太阳城线上官网

> 太阳城娱乐网址 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

2017年的数据泄露带给我们的经验与教训

2018-01-03
相关信息安全研究人员对2017年数据泄漏事件进行总结归纳,提出一些新的观点,以便让我们从2017年所发生的数据泄露事件中吸取经验和教训。

2017年的数据泄露带给我们的经验与教训

以下两个因素会对安全事件产生重要影响:

1过度暴露高风险机密——这种因素是导致严重安全事件发生的主要原因,很多影响严重的事件都具备这种特征。

2受害用户的可用日志——它既是帮助组织从攻击事件中快速恢复的良药,也是导致用户重要凭证信息被盗的“罪魁祸首”。

安全团队需要知道“战场”在哪里

对于“跨多个公司间安全团队协同合作”这个概念而言,今年绝对是一个重大突破和胜利。其中,最典型的案例就是OneLogin以及Cloudbleed的数据泄露事件。

拥有优秀网络安全团队的公司数量正在迅速增加,而且他们也逐渐能够理解和区分各自客户代表给他们反馈回来的各种不同的安全信息了。

虽然很多公司在遇到数据泄露等安全事件时,没有办法去适当的处理。但很多公司会选择进入“响应模式”,然后跟其他团队分享事件信息,并讨论如何缓解安全事件所带来的影响(包括告诉客户如何采取相应措施来保护自己)。因此,更加紧密的信息共享让这些团队能够更加快速、有效和自信地处理安全事件了。

应对方案
“出去走走,多交些朋友。”你可以多去各种社区逛逛,多跟竞争对手的安全团队交流,分享各类安全事件的处理过程,努力成为社区中一名优秀的成员。

基础信息安全

其实,有很多安全事件都是企业或组织自身问题或信息系统安全问题所导致的。这些事件可能是程序的代码或者基础设施的配置不当或缺乏关键信息安全基础建设等原因导致。这类事件并没有什么神秘可言,而一切都可以通过相当具体的调查任务来发现漏洞的成因。

在事件调查的过程中,通常需要法律顾问,通信团队,甚至是某些特殊用户的参与。安全工程师将需要进行各种单元测试,并避免将来出现类似的安全问题。

应对方案
每一个企业和组织都应该根据自己的情况来设计出合适的安全应急响应方案以及取证分析方案,否则历史很可能会重演。

信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

需要注意的是,如果不对自己的基础设施(例如代码和服务器等等)进行定期技术检测的话,你很可能会因为其中潜在的安全问题而陷入困境。

记者跟公司雇员间直接联系渐多

内幕泄露也成为了今年的一种趋势。今年很多公司都发现,越来越多的记者开始通过社交媒体平台或者加密聊天应用来跟企业雇员进行频繁的联系,而这些记者往往会直接跟他们询问一些非常“敏感”的信息,尤其是一些涉及到企业业务计划和新产品的相关内容。

这种情况跟前几年见到的有些不同,因为企业员工跟外部的这种“接触”变得越来越频繁,而且针对员工的垃圾邮件也越来越多,这将会大大增加员工泄露重要机密数据的可能性。

应对方案
企业和组织应该尽可能地限制这类“交流”的发生,并要求员工按照“无可奉告”政策来行事。如果不得已需要跟记者或媒体联系的话,请一定要构建一种可信的通信渠道。

这样做有两个好处:首先,这样可以从某种程度上降低数据泄露发生的可能性;其次,当数据泄露发生的时候,你可以迅速知道数据的泄漏源。

短信跟身份认证

目前,很多在线服务以及应用程序都允许用户通过短信来重置账户密码。如果攻击者知道了验证短信的内容,那你就危险了。

目前有多种方法可以帮助攻击者获取到目标用户的验证短信,而绝大多数方法都涉及到对通信运营商进行社会工程学技术。攻击者可以将电话号码转移到其他运营商,并拦截目标短信。或者说,他们可以注册同一运营商旗下的SIM卡,然后实现短信拦截。而他们的这些攻击技术同样适用于基于Web的短信。

应对方案
为了彻底解决这种安全问题,我们应该想办法用其他类型的认证方式来替换掉基于手机短信的验证方式。除此之外,在企业和组织的日常安全培训中,我们也应该培养员工对这方面的安全意识。

总结

今年的情况其实跟去年没多大区别,但这件事情本身就应该是一次“教训”。既然去年已经出现过类似的情况或者发生了类似的事情了,那为什么今年还会“历史重演”呢?因此,我们应该将注意力放在更加有效的风险管理方案身上。

如果我们更愿意和大家分享手中的信息和资源,我们将能够构建出更多的威胁模型,并将它们应用到各类场景之中。
参考来源:medium
FreeBuf编译


申博太阳城娱乐为客户提供持续的各类技术支持服务、提供产品使用所必须的客户培训;通过多种渠道提供各种形式的技术支持服务;长期提供产品运维所需的技术咨询服务;设立方便、有效的售后渠道;制定上门提供技术服务的程序和规范。
有效的客户服务体系保障与客户沟通联系,配置专职服务管理人员和监督人员、专职服务工作人员、专业技术服务人员,24小时全方位立体化维护您的数据安全。