如何避免企业遭遇数据泄露事故

数据泄露事故往往令人防不胜防，意外或者恶意攻击都能成为企业信息流出的渠道，进而导致商务损失。在本文中我将与大家分享一些技巧，希望能在保护企业数据免遭泄露方面给朋友们带来帮助。 潜伏在互联网隐秘角落中的攻击者更令人担忧，还是对财务等敏感信息了如指掌的企业内部员工更惹人烦恼？事实证明，两者都是IT部门避之而唯恐不速的难缠情况。根据InformationWeek网站发布的2012企业技术专家策略安全调查显示，由企业雇员引发的安全事故与外来网络攻击在影响上已经基本持平。 然而由Verizon发布的2012数据泄露调查报告所认为，内部安全威胁只占攻击总体数量的一小部分——只有4%。既然如此，为什么专家们对它如此重视，甚至有点大惊小怪呢？原因很简单，内部员工了解访问公司重要信息的途径和手段，对系统情况的熟悉令他们拥有数十种难以防范的窃取措施。此外，他们的攻击造成的影响也普遍更大。就在去年，美国银行的一位员工将数百位客户的账户信息发送到了某位恶意人士手中。而后者利用这些数据开始从相关账户中盗窃资金，直接涉案总金额达上千万美元——这还不算美国银行事后为了安抚客户而额外投入的巨额款项。 内部员工给企业带来的威胁正愈发严峻，但IT部门往往仍然把保护重点放在保护网络边界免受外部攻击活动侵扰的工作上。时代已经不同了，目前值得关注的新型犯罪活动温巢就在企业内部——内部网络恶意活动必须尽早得到扼制。显然，在这样的时代背景下，企业应该立即重新考量自己的现有安全战略，并将“内忧”威胁放在与“外患”同等重要的关注层面上。 内部安全威胁发生的原因多种多样，既可能是有意为之、也可能是无心之失。但无论起因如何，大家通常都可以制定一套完备的控制机制最大程度减轻其带来的危害。要解决企业内部威胁，我们应该从三个方面分别入手，即：网络、主机设备以及那些与数据生成、处理以及迁移相关的工作人员。 在网络层面，控制系统必须能够检测并分析网络流量内容，并在可能的情况下及时阻止敏感数据进入传输通道。而在主机设备保护方面，项目则相对更加传统：反恶意软件、加密机制、变更管理以及其它安全控制手段都是不可或缺的有效方案。不过归根结底，果然与人相关的问题才是最麻烦的问题：落实管理政策、对员工进行妥善处理敏感数据方面的培训。在下面的文章中，我将与大家详细聊聊这三大层面的具体实施流程。 网络——严防死守 对于企业内部员工而言，最常见的两种数据传输方式要数电子邮件及网络发送。而无论是蓄意而为还是意外过失，数据泄露的发生同样要依托这两种途径，而且在事故出现之初，具体原因往往并不明朗。使用企业电子邮件账户的员工们往往会在无意之中将敏感数据发送到错误的接收地址。与此同时，意图窃取敏感信息的恶意人士也很可能借助个人网络邮箱账户或者将信息上传至网络文件共享站点的方式实现自己不可告人的目的。 因此，电子邮件与安全网关可谓抵抗意外事件与恶意破坏的第一道防线。这些网关通常用于检查入站流量、垃圾邮件以及恶意软件，同时它们也可以通过合理部署来实现出站流量监控。内部安全网关涵盖的范畴主要指员工所生成的通往网络及邮件的流量，以及充当中继装置或代理之用的线路及 *** 作活动。 诸如BarracudaNetworks、思科IronPort、McAfee以及WebSense等大版网关类产品供应商都推出了各具特色的数据丢失保护功能。由于流量的传递必然要通过网关，因此DLP（即数据泄露防护）模块会镇守在此，了解企业内部的敏感数据是否存在外泄现象。这套保护模块同样会关注特定的数据类型，例如xyk以及社保号码等内容，用户还可以通过创建分类标签界定哪些文件不应该由企业网络传播到外界环境。一旦模块检测到这类数据有输出行为，管理员会立即得到提醒。流量会立即被冻结，同时相关用户也将收到警告提示。不仅如此，这类潜在的违规行为也会被系统发送到企业中的安全部门、人力资源以及该用户的顶头上司处，这种严厉的惩戒措施无疑会敦促大家在今后的工作中始终保持严肃谨慎的态度。 除了网络与电子邮件流量分析，基于网络的DLP产品还能够监控包括即时通讯、社交网站、点对点文件共享及文件传输协议在内的协议与服务。 然而，在经过加密的信息面前，DLP及其它网站安全产品可就抓瞎了。如果用户事先做过充足的准备，利用像SSH/SCP或者Tor这样的加密网络传输方式发送数据，那么这些内容将能够顺利绕过基于网络的DLP机制。为了解决这一难题，DLP产品通常还包含基于主机以及基于存储设备的DLP方案，这一点我们以后再进行讨论。 异常检测系统是另一种网络层面的备选方案，Lancope公司与Riverbed技术公司堪称这一领域的业界翘楚。此类产品会首先创建出一套正常网络活动的基准指标，再将当前网络活动与指标相比照，并在发生偏离时发出警报。举例来说，网络环境中的每一台计算机通常会与12台其它计算机及服务器产生交互，且每天产生的数据传输量在100MB到200MB之间。如果突然某一天计算机涉及到的交互对象超过了20台（包括计算机、服务器及其它系统在内），或者是针对某文件服务器或数据库的传输量一跃超过500MB大关，这样的异常活动会立即引起系统的关注，并实时向系统管理员发送警报。 卡内基梅隆大学的CERT内部威胁中心已经严格界定了几种主要内部攻击的类型与特征，其中最明显的一点是内部攻击者通常会在决定离开企业的前一个月内开展恶意活动。他们从企业服务器端将敏感数据下载到自己的工作站中，然后通过发送邮件、烧录光盘或者使用U盘拷贝等方式保留副本。不过与前文响应的是，这种超出常规的数据下载量可以及时被网络异常检测系统捕捉并追踪到，同时相关用户的活动将立即被标记并受到监视。 然而，网络活动异常检测系统同样无法全知全能。首先来说，它不会向我们发送内容明确的提示信息，例如：员工Bob似乎在尝试窃取某些敏感记录。恰恰相反，IT部门会得到一份关于应用程序及网络异常活动的报告，而安保团队则负责深入调查。也就是说，日志分析、网络活动审查以及当事人取证等工作要交由完全不懂技术的家伙来完成。这种分别处理的方式往往令调查工作陷入僵局，巨大的安全威胁通常也只能不了了之。IT与安全团队必须筹备大量资金并投入时间与精力，才能对异常活动检测系统做出合理调整，最终通过报告分析及调查得出有价值的安全提示信息。 IT部门同样可以利用专业工具监控数据库中的异常现象。这类工具的主要作用是掌握企业内部员工的动向，因为数据库可以说是珍贵商务信息的大本营。数据库活动监控（简称DAM）产品的主要供应商包括Imperva以及IBM等，它们能够帮助管理员轻松了解用户与数据库服务器之间的交互行为。DAM产品运行于网络或主机层，可以捕捉到许多异常活动，例如平时只访问30到40条信息记录的用户突然在一天之间访问了上千条记录等。 主机——不容疏漏 对于以笔记本电脑与平板设备为代表的主机系统同样应该得到严格保护，力图最大程度避免蓄意或意外违规情况的发生。要实现这一点，最有效的途径之一就是加密技术。在我们组织的安全战略调查当中，有64%的受访者认为加密技术能够有效保护企业免受安全威胁的侵扰。经过加密的笔记本电脑、便携式存储媒介以及移动终端可以令这些设备在失窃之后仍然保证其中的资料安全。精心部署并配置得出的管理政策会保证加密技术在方方面面落实到位，而强大的密码分配策略及保护能力不仅会帮助我们在设备丢失之后不必担忧数据泄露，更能够以远程方式清除设备中的信息。 加密的应用领域还有很多，例如在将文件复制到可移动存储媒介、智能手机以及电子邮件中时，这项技术将令整个过程更加安全。以Credant公司的MobileGuardian以及McAfee公司的TotalProtectionforData为代表的此类产品能够在数据被写入移动设备及便携存储媒介时主动进行加密。出于对鼓励加密技术推广的考量，某些国家的数据违规法令允许企业在数据丢失或被盗时无需通知相关客户该信息是否已被加密。 在安全要求方面特别严格的企业往往勒令禁止员工使用以U盘为代表的各种便携式存储媒介。许多终端保护套件，例如赛门铁克的EndpointProtection以及McAfee的DLP，都会全面或部分禁止U盘的直接使用。 为文件服务器这样的敏感数据源配备适当的访问及审计控制措施也能够有效阻止来自内部员工的恶意行为。方案之一开发基础文件及文件夹层面的审计，通过这种方式管理员就可以追踪用户的访问行为，并实时进行权限提升及软件安装许可等 *** 作。尽管这听起来并不困难，但其中的挑战在于，大多数企业根本不了解自己的敏感数据保存在何处。如果连这些基本情况都未能掌握，那么文件及文件夹审计机制基本上也就形同虚设了。 我们要做的第一步是确定敏感数据的存储位置。DLP产品中已经普遍加入了数据枚举功能，这能够有效帮助IT部门掌握社保号码、医疗记录以及xyk数据等信息的存储位置。位置确定之后，我们要将数据进行合并，并与相应的用户权限相关联；接下来要做的是通过集中记录或者安全信息及事件管理（简称SIEM）工具实现文件及文件夹审计流程。经过正确配置的提示系统应该会在访问行为发生异常或者外部用户获得访问敏感信息访问权限时及时发出警报。 另一个重要步骤是监控工作站及服务器的配置变更，并在必要时发出警报。突如其来的大规模变更很可能表明某些恶意人士正在或准备侵犯我们的敏感数据。在准备阶段，他们肯定要首先为自己的工作站赋予与管理员等同的高权限，并添加新硬件以进行数据拷贝，或者通过清空或禁用日志系统来掩盖自己的犯罪活动。 SIEM与专业变更管理软件能够及时发现这类活动并提醒管理者，在这方面我推荐Tripwire公司的PolicyManager以及NetIQ公司的SecureConfigurationManager。使用变更及配置管理工具的另一大好处在于，它们通常还拥有工作流管理功能，能够对工作流内容进行处理、核准并根据记录恢复配置变更。 最后，IT部门必须定期记录安全信息、查看日志并依照数据统计结果制定下一步的工作重点。这类工作虽然枯燥繁琐，但意义相当重大。我们不妨回想一下2011年Verizon数据泄露调查报告所给出的结论：“几乎每一次数据泄露事故在真正爆发之前，受害者都有很多机会发现并及时纠正这些问题。但这些重要的记录内容要么干脆没人看，要么看过就算，而没有被融入实际行动。”而在Verizon发布的2012年报告中，这种趋势仍然在持续：调查中84%的受害者根本不知道那些危害极大的数据泄露事故早已在日常记录中留下了蛛丝马迹。事实上只要对现有日志记录系统进行认真检查，这类内部攻击完全可以被扼杀在摇篮中。正是出于这种原因，Verizon公司才建议大型企业“认真监控并深入剖析事件日志”，并将这条建议放在年度箴言的醒目位置。 人为因素——建立规则 研究表明，大部分内部恶意攻击来自那些对企业心怀不满，或者即将离开企业另谋高就的员工。而除此之外，既然是那些没有怨气的雇员，也很可能栽在社交网络及其它网站上遭遇钓鱼攻击，因为一般来说普通群众对恶意链接的危害及特征并不了解。人为因素，才是安全工作最难以逾越的一道鸿沟。 要提高全民防范意识，首先应该建立一套定义准确、易于理解的管理政策。遗憾的是，根据我对当前主流安全架构及政策内容的调查，大多数企业都没能做好这一点。政策条件又臭又长，字里行间极尽晦涩之能事，这使得大多数普通员工根本无法理解甚至阅读此类制度条款。于是乎，员工很快将政策抛诸脑后。他们并不是不想遵守，而是完全没能理解甚至是读完这种长篇大论。 不要在创建管理政策时简单地将需要检查的内容或者规章条款列成一份清单。相反，我们应该推想员工在日常工作中可能遇到的情况，并以此为基础为他们提供 *** 作性较强的指导意见，同时明确列举严格禁止的各类行为。将背景调查、数据处理及分类、企业资源使用许可、安全注意事项及培训与政策制定相结合，力争拿出一套能够真正服务于实际的指导性文件。 组织出详尽的数据分类及实践方案，明确规定哪类数据允许被存储在哪套系统当中、数据应该如何通过网络加以传输、各种加密要求以及数据是否能够存储在移动设备及便携式存储媒介之中。经常与敏感数据及系统打交道的员工则应该严格按照数据分类政策的要求保存信息，并定期进行更新。 如果我们希望员工能够切实遵循政策要求，培训工作也是必不可少的。尽可能利用现有资源帮助企业建立培训计划，包括系统网络安全协会出台的安全工作大纲以及OffensiveSecurity团队制定的企业安全意识培训项目。此外，InformationWeek网站发布的《安全：用户须知》报告中也包含了不少实用技巧，不妨让员工仔细阅读以指导实际业务。 值得一提的是，物理设备安全也是常常被忽视的关键因素。企业往往在制定管理机制方面花尽心思，却没有想到如何避免员工盗窃公有设备。大家不妨在敏感位置部署监控系统，并限制员工的访问行为，以最大程度减少盗窃活动的发生。 金城汤池，严阵以待 要从根本上防止内部威胁，我们需要严查技术漏洞、长期监控员工行为。要做好这两点很不容易，尤其是在内部员工出于工作目的访问敏感数据时。解决问题的关键在于掌握攻击流程、了解潜在动机并将控制方案部署在效果最好的层面。大家不妨先指定那些最需要保护的重要信息，为它们建立坚不可摧的防御机制，再以此为契机总结经验，把心得酌情推广到对网络及主机系统的控制中去。 再就是千万别小看了人为因素。制定便于员工理解并遵守的管理政策，培养他们良好的安全生产习惯，同时始终以警惕的目光关注用户活动中的每个细节。 利用分层方案对网络、主机以及人为因素进行分别控制，这是真理，却离我们很远。实现理想的过程永远坎坷而漫长。正如Verizon公司在2012年度报告（这也是该公司连续第三年发布的报告）中所言，几乎所有内部违规行为都是“有组织、有预谋的结果。”要想真正将内部威胁牢牢控制住，我们可能也得拿出同样“有组织、有预谋”的方案来应对才是。

NoSQL薄弱的安全性会给企业带来负面影响。Imperva公司创始人兼CTO Amichai Shulman如是说。在新的一年中，无疑会有更多企业开始或筹划部署NoSQL。方案落实后就会逐渐发现种种安全问题，因此早做准备才是正确的选择。作为传统关系型数据库的替代方案，NoSQL在查询中并不使用SQL语言，而且允许用户随时变更数据属性。此类数据库以扩展性良好著称，并能够在需要大量应用程序与数据库本身进行实时交互的交易处理任务中发挥性能优势，Couchbase创始人兼产品部门高级副总裁James Phillips解释称：NoSQL以交易业务为核心。它更注重实时处理能力并且擅长直接对数据进行 *** 作，大幅度促进了交互型软件系统的发展。Phillips指出。其中最大的优势之一是能够随时改变(在属性方面)，由于结构性的弱化，修改过程非常便捷。NoSQL最大优势影响其安全性NoSQL的关键性特色之一是其动态的数据模型，Shulman解释道。我可以在其运作过程中加入新的属性记录。因此与这种结构相匹配的安全模型必须具备一定的前瞻性规划。也就是说，它必须能够了解数据库引入的新属性将引发哪些改变，以及新加入的属性拥有哪些权限。然而这个层面上的安全概念目前尚不存在，根本没有这样的解决方案。根据Phillips的说法，某些NoSQL开发商已经开始着手研发安全机制，至少在尝试保护数据的完整性。在关系型数据库领域，如果我们的数据组成不正确，那么它将无法与结构并行运作，换言之数据插入 *** 作整体将宣告失败。目前各种验证规则与完整性检查已经比较完善，而事实证明这些验证机制都能在NoSQL中发挥作用。我们与其他人所推出的解决方案类似，都会在插入一条新记录或是文档型规则时触发，并在执行过程中确保插入数据的正确性。Shulman预计新用户很快将在配置方面捅出大娄子，这并非因为IT工作人员的玩忽职守，实际上主要原因是NoSQL作为一项新技术导致大多数人对其缺乏足够的知识基础。Application Security研发部门TeamSHATTER的经理Alex Rothacker对上述观点表示赞同。他指出，培训的一大问题在于，大多数NoSQL的从业者往往属于新生代IT人士，他们对于技术了解较多，但往往缺乏足够的安全管理经验。如果他们从传统关系型数据库入手，那么由于强制性安全机制的完备，他们可以在使用中学习。但NoSQL，只有行家才能通过观察得出正确结论，并在大量研究工作后找到一套完备的安全解决方案。因此可能有90%的从业者由于知识储备、安全经验或是工作时间的局限而无法做到这一点。NoSQL需在安全性方面进行优化尽管Phillips认同新技术与旧经验之间存在差异，但企业在推广NoSQL时加大对安全性的关注会起到很大程度的积极作用。他认为此类数据存储机制与传统关系类数据库相比，其中包含着的敏感类信息更少，而且与企业网络内部其它应用程序的接触机会也小得多。他们并不把这项新技术完全当成数据库使用，正如我们在收集整理大量来自其它应用程序的业务类数据时，往往也会考虑将其作为企业数据存储机制一样，他补充道。当然，如果我打算研发一套具备某种特定功能的社交网络、社交游戏或是某种特殊web应用程序，也很可能会将其部署于防火墙之下。这样一来它不仅与应用程序紧密结合，也不会被企业中的其它部门所触及。但Rothacker同时表示，这种过度依赖周边安全机制的数据库系统也存在着极其危险的漏洞。一旦系统完全依附于周边安全模型，那么验证机制就必须相对薄弱，而且缺乏多用户管理及数据访问方面的安全保护。只要拥有高权限账户，我们几乎能访问存储机制中的一切数据。举例来说，Brian Sullivan就在去年的黑帽大会上演示了如何在完全不清楚数据具体内容的情况下，将其信息罗列出来甚至导出。而根据nCircle公司CTO Tim ‘TK’ Keanini的观点，即使是与有限的应用程序相关联，NoSQL也很有可能被暴露在互联网上。在缺少严密网络划分的情况下，它可能成为攻击者窥探存储数据的薄弱环节。因为NoSQL在设计上主要用于互联网规模的部署，所以它很可能被直接连接到互联网中，进而面临大量攻击行为。其中发生机率最高的攻击行为就是注入式攻击，这也是一直以来肆虐于关系类数据库领域的头号公敌。尽管NoSQL没有将SQL作为查询语言，也并不代表它能够免受注入式攻击的威胁。虽然不少人宣称SQL注入在NoSQL这边不起作用，但其中的原理是完全一致的。攻击者需要做的只是改变自己注入内容的语法形式，Rothacker解释称。也就是说虽然SQL注入不会出现，但JavaScript注入或者JSON注入同样能威胁安全。此外，攻击者在筹划对这类数据库展开侵袭时，也很可能进一步优化自己的工具。不成熟的安全技术往往带来这样的窘境：需要花费大量时间学习如何保障其安全，但几乎每个IT人士都能迅速掌握攻击活动的组织方法。因此我认为攻击者将会始终走在安全部署的前面，Shulman说道。遗憾的是搞破坏总比防范工作更容易，而我们已经看到不少NoSQL技术方面的公开漏洞，尤其是目前引起热议的、以JSON注入为载体的攻击方式。NoSQL安全性并非其阻碍然而，这一切都不应该成为企业使用NoSQL的阻碍，他总结道。我认为归根结底，这应该算是企业的一种商业决策。只要这种选择能够带来吸引力巨大的商业机遇，就要承担一定风险，Shulman解释道。但应该采取一定措施以尽量弱化这种风险。举例来说，鉴于数据库对外部安全机制的依赖性，Rothacker建议企业积极考虑引入加密方案。他警告称，企业必须对与NoSQL相对接的应用程序代码仔细检查。换言之，企业必须严格挑选负责此类项目部署的人选，确保将最好的人才用于这方面事务，Shulman表示。当大家以NoSQL为基础编写应用程序时，必须启用有经验的编程人员，因为客户端软件是抵挡安全问题的第一道屏障。切实为额外缓冲区的部署留出时间与预算，这能够让员工有闲暇反思自己的工作内容并尽量多顾及安全考量多想一点就是进步。综上所述，这可能与部署传统的关系类数据库也没什么不同。具有讽刺意味的是，近年来数据库应用程序在安全性方面的提升基本都跟数据库本身没什么关系，nCircle公司安全研究及开发部门总监Oliver Lavery如是说。

---