聚焦六大企業(yè)網(wǎng)絡(luò)安全威脅
對于企業(yè)來說,木馬、黑客、病毒等網(wǎng)絡(luò)安全威脅已經(jīng)成為信息安全的重大隱患。為了保護企業(yè)數(shù)據(jù)的安全,就要清楚目前來自網(wǎng)絡(luò)的主要威脅都有哪些。
一、安全隱患:IPv6存在的攻擊漏洞
在從IPV4向IPV6過渡的過程中,企業(yè)面臨著很多信息安全調(diào)整,安全專家表示。讓情況更糟糕的是,一些攻擊者已經(jīng)開始使用IPV6地址空間來偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊。
Sophos公司的技術(shù)策略主管James Lyne表示,眾所周知,企業(yè)間從IPV4向IPV6過渡過程非常緩慢,而很多網(wǎng)絡(luò)罪犯就鉆了這個空子,很多攻擊者在IPV6基礎(chǔ)設(shè)施散步垃圾郵件并且利用了錯誤配置的防火墻的缺點。
很多現(xiàn)代防火墻在默認配置下都是讓IPV6流量自行通過的,Lyne表示。那些對IPV6流量不感興趣的企業(yè)就會設(shè)立明確的規(guī)則來嚴格阻止IPV6數(shù)據(jù)包,IT管理人員需要“知道如何與IPV6對話”,這樣他們就可以編寫相應(yīng)的規(guī)則來處理該協(xié)議。
“從行業(yè)的角度來看,現(xiàn)在銷售IPV6的方式是錯誤的,”Lyne表示,他指出關(guān)于該協(xié)議的內(nèi)置功能如何幫助提高隱私性方面的問題很少有人探討。相反的,對IPV6難以部署的普遍觀念讓企業(yè)很容易受到潛在攻擊。
從一般規(guī)則來看,IPV4和IPV6網(wǎng)絡(luò)是并行運行的。具有傳統(tǒng)IPV4地址的計算機不能訪問在IPV6地址空間運行的服務(wù)器和網(wǎng)站。隨著IPV4地址“逐漸衰敗”,業(yè)內(nèi)都鼓勵企業(yè)轉(zhuǎn)換到IPV6或者無法獲取新IP地址。負責向亞太地區(qū)分配IP地址的亞太網(wǎng)絡(luò)信息中心近日宣布所有新的地址申請將被分配IPV6地址。
一位安全研究人員近日發(fā)現(xiàn)攻擊者可能通過IPV6網(wǎng)站發(fā)動中間人攻擊。InfoSec研究所安全研究人員Alec Waters表示,攻擊者可以覆蓋到目標IPV4網(wǎng)絡(luò)上的“寄生”IPV6網(wǎng)絡(luò)來攔截互聯(lián)網(wǎng)流量,他的概念證明攻擊只考慮了windows 7系統(tǒng),但是同樣也可能發(fā)生在Vista、Windows 2008 Server和其他默認情況下開啟了IPV6的操作系統(tǒng)上。
為成功發(fā)動攻擊,攻擊者需要獲取對目標網(wǎng)絡(luò)的物理訪問,并且時間足以連接到IPV6路由器。在企業(yè)網(wǎng)絡(luò)的環(huán)境中,攻擊者將需要連接IPV6路由器到現(xiàn)有的IP4樞紐,但是對于公眾無線熱點,就非常簡單了,只需要用IPV6路由器就能發(fā)動攻擊。
攻擊者的IPV6路由器將會使用假的路由器廣告來為網(wǎng)絡(luò)中啟用了IPV6的機器自動創(chuàng)建新的IPV6地址。
路由器廣告的作用就像是IPV6地址的DHCP(動態(tài)主機配置協(xié)議),它提供了一個地址池供主機來選擇,根據(jù)SANS研究所首席研究官Johannes Ullrich表示。在用戶或者IT管理人員不知情的情況下,他們的機器已經(jīng)變成IPV6獵物。
雖然系統(tǒng)已經(jīng)有一個企業(yè)分配的IPV4地址,但是因為操作系統(tǒng)處理IPV6的方式,系統(tǒng)會被打亂到IPV6網(wǎng)絡(luò)。現(xiàn)代操作系統(tǒng)將IPV6默認為首選連接(如果系統(tǒng)同時被分配了IPV6和IPV4地址的話)。
由于IPV6系統(tǒng)無法與企業(yè)真正的IPV4路由器進行連接,系統(tǒng)必須通過惡意路由器進行路由,Waters表示,攻擊者然后可以使用一個通道來將IPV6地址轉(zhuǎn)換到IPV4地址,例如NAT-PT,這是一個實驗性IPV4到IPV6轉(zhuǎn)換機制,但是因為存在很多問題,該機制并沒有獲得廣泛支持。
“但并不意味著它沒有作用,”Waters表示。
通過NAT-PT,具有IPV6地址的機器就可以通過惡意路由器訪問IPV4網(wǎng)絡(luò),使攻擊者對他們的互聯(lián)網(wǎng)活動有了全面了解。,
這種攻擊的嚴重程度還存在爭議,InfoSec研究所安全計劃經(jīng)理Jack Koziol表示。根據(jù)常見漏洞清單,“IPV6符合RFC 3484(IPV6協(xié)議),以及試圖確定RA的合法性目標仍位于主機操作系統(tǒng)推薦行為的范圍外仍然存在爭議。”
不需要使用IPV6或者沒有完成過渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6,或者,企業(yè)應(yīng)該“像IPV4一樣對攻擊進行監(jiān)控和抵御”。
#p#
二、來自客戶和合作伙伴的安全威脅
雖然企業(yè)盡其全力確保了自身網(wǎng)絡(luò)安全,但在電子商務(wù)和網(wǎng)上銀行的時代,這些還遠遠不夠。IT管理人員應(yīng)該要問:與我們業(yè)務(wù)往來的合作伙伴的安全保護工作是否到位?
答案可能是否定的,因為客戶和業(yè)務(wù)合作伙伴并沒有實現(xiàn)安全數(shù)據(jù)共享,例如使用加密來保護敏感信息。當他們的計算機被攻擊者攻擊或者他們的員工以不合法規(guī)的方式發(fā)送敏感數(shù)據(jù)時,這自然也會成為你們公司的問題。
在醫(yī)療保健行業(yè),與個人醫(yī)療信息和個人身份信息有關(guān)的數(shù)據(jù)必須通過加密后才能發(fā)送給業(yè)務(wù)合作伙伴,Lutheran Life Communities(醫(yī)療保健供應(yīng)商,1600名員工,為老年人提供醫(yī)療保健、家庭護理等服務(wù))的信息技術(shù)主管Richard DeRoche表示。
該醫(yī)療保健供應(yīng)商安裝了數(shù)據(jù)丟失防護設(shè)備來確保個人醫(yī)療信息和個人身份信息數(shù)據(jù)傳輸安全進行,但是令人驚訝的是,最終是業(yè)務(wù)合作伙伴的問題導致數(shù)據(jù)泄漏。
“85%到90%的數(shù)據(jù)泄漏是入站的,”DeRoche指出,雖然Lutheran Life的員工遵守加密敏感數(shù)據(jù)的規(guī)則,但是該供應(yīng)商的合作伙伴確實犯下最大錯誤的一方,真是防不勝防。
這引起了Lutheran Life法律部的辯論,關(guān)于公司是否應(yīng)該接受看似違反了HIPAA以及HITECH法案的電子郵件,這些法案都會對違規(guī)者進行罰款。
DeRoche表示,公司已經(jīng)決定開始向違反其安全和隱私政策的電子郵件發(fā)送者發(fā)送警告信息,信息中稱本公司無法接受這種形式的信息。他指出,有必要建立更多的業(yè)務(wù)伙伴協(xié)議,以防止類似問題再次發(fā)生。
像許多公司一樣,Lutheran Life Communities發(fā)現(xiàn)很難讓業(yè)務(wù)伙伴使用加密技術(shù),建立的微軟SharePoint作為業(yè)務(wù)伙伴共享機密信息的外部端口,這個系統(tǒng)是使用密碼和加密的系統(tǒng),但是對最終用戶卻不實用。
銀行業(yè)也是同樣的情況,其他人犯的錯誤可能帶來不必要的麻煩。
網(wǎng)絡(luò)罪犯很擅長欺騙零售業(yè)和企業(yè)網(wǎng)上銀行客戶,有時候他們會精心設(shè)計騙局來引誘受害者電機假冒釣魚網(wǎng)站來竊取賬戶信息或者使用木馬軟件劫持個人電腦來通過自動清算系統(tǒng)服務(wù)進行欺詐交易。
罪犯可以遠程通過受害者的電腦發(fā)起大金額支付,而這些未經(jīng)授權(quán)的付款最終由錢螺幫助他們兌現(xiàn)(錢騾指通過因特網(wǎng)將用詐騙等不正當手段從一國得來的錢款和高價值貨物轉(zhuǎn)移到另一國的人,款物接收國通常是詐騙份子的居住地)。當企業(yè)銀行客戶發(fā)現(xiàn)這種情況發(fā)生時,他們不得不請銀行幫忙,而根據(jù)法律,企業(yè)客戶對于網(wǎng)上銀行操作并沒有相同的欺詐保護。
一些銀行正在嘗試更有效的辦法來制止這種類型的攻擊對他們的客戶和銀行體系的損害。
例如,美國費爾菲爾德縣銀行決定,為了阻止攻擊行為,他們要求其企業(yè)自動清算系統(tǒng)銀行客戶(約80家公司,幾百名終端用戶)使用特定的安全保護來保護ACH支付。
該銀行的所有客戶都會獲得一個IronKey Trusted Access作為網(wǎng)上銀行令牌,這是一個安全的USB令牌,可以通過IronKey云服務(wù)來管理。這種令牌保護能夠通過創(chuàng)建一個獨立于用戶操作系統(tǒng)的受控制的在線工作環(huán)境防止鍵盤記錄和基于瀏覽器的攻擊以及惡意軟件。
“這將是必需的,” 該銀行助理副總裁、現(xiàn)金管理辦公室和電子銀行業(yè)務(wù)Christina Bodine表示。
她表示,這種強制性安全設(shè)備將有助于保護客戶和區(qū)分銀行的服務(wù)。像其他銀行一樣,該銀行建議客戶使用專門的電腦進行資金轉(zhuǎn)賬。
#p#
三、有補丁不打,四分之一SSL網(wǎng)站有風險
在互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force ,IETF)發(fā)布修復SSL協(xié)議中存在的漏洞(主要影響服務(wù)器、瀏覽器、智能卡和VPN產(chǎn)品,以及很多低端設(shè)備,如攝像頭等)的安全補丁的一年多后,仍然有四分之一的SSL網(wǎng)站沒有安裝這個補丁,這讓這些網(wǎng)站很容易收到中間人攻擊。
Qualys公司的工程主管Ivan Ristic近日對120萬個啟用SSL網(wǎng)站服務(wù)器進行了調(diào)查,其中發(fā)現(xiàn)超過25%的網(wǎng)站沒有運行所謂的安全的renegotiation。Ristic還發(fā)現(xiàn),在Alexa排名前100萬的網(wǎng)站中的30萬個網(wǎng)站中,有35%容易受到這種類型的攻擊,這種攻擊主要是利用了SSL認證過程中存在的問題,可以讓攻擊者發(fā)動中間人攻擊,并將攻擊者自己的文本注入到已加密的SSL會話中。這個問題主要存在于renegotiation過程中,有些應(yīng)用程序要求對加密過程進行更新。
為了解決這個問題,互聯(lián)網(wǎng)工程任務(wù)組聯(lián)手促進互聯(lián)網(wǎng)安全企業(yè)論壇以及一些供應(yīng)商,例如谷歌、微軟和PhoneFactor,發(fā)布SSL的修復補丁,也就是互聯(lián)網(wǎng)工程任務(wù)組標準中的傳輸層安全(TLS)。這個修復補丁(傳輸層安全TLS Renegotiation Indication Extension)于2010年一月發(fā)布。
“令人感到意外的是,頂級網(wǎng)站的安全狀況比一般網(wǎng)站的還要差,”Ristic對調(diào)查結(jié)果表示。
Ristic表示,這些容易受到攻擊的網(wǎng)站基本上沒有修復這個漏洞。“在修復補丁后,才能夠確保安全進行renegotiation,”他表示,“這些漏洞系統(tǒng)也可以部署其他解決方法,通過禁用客戶端發(fā)起的renegotiation,但是他們也沒有這樣做。”
發(fā)現(xiàn)這個漏洞的PhoneFactor公司的Marsh Ray表示,這些數(shù)據(jù)說明了修復漏洞方面的場景安全狀況,“有一定數(shù)量的網(wǎng)站會立即修復漏洞,然后修復后就沒有采取任何行動了。”
Ray表示,“我們已經(jīng)盡了全力,我們讓供應(yīng)商及時地提供修復補丁。你可以把馬帶到湖邊,但是你不能命令它喝水。”
SSL安全問題一直受到廣泛關(guān)注,首先是研究人員Moxie Marlinspike制造的中間人攻擊,誘騙用戶認為他正處于一個HTTPS會話中,而實際上他已經(jīng)被攻擊者重定向到其他位置。隨之而來的是研究人員Dan Kaminsky的研究,他發(fā)現(xiàn)了SSL中使用的X.509數(shù)字證書技術(shù)存在的關(guān)鍵漏洞。
“我認為沒有辦法讓個人用戶大幅度改善SSL部署情況。存在太多問題,而且根本沒有人在乎。我覺得我們應(yīng)該將側(cè)重于庫開發(fā)人員(舉例來說)OpenSSL,讓他們移除過時的功能,并且讓軟件供應(yīng)商確保默認情況下開啟了必要的安全功能,”Ristic表示。
他表示,從長遠來看,將需要其他方法來幫助確保SSL部署的安全。“從長遠來看,谷歌使用的方法肯定會變得非常流行,他們正在通過改善性能來實現(xiàn)安全的改進。例如,他們的SPDY協(xié)議在默認情況下是100%加密的。所以,所有轉(zhuǎn)移到SPDY獲取更好性能的用戶還將獲得更好的安全,”Ristic指出,“總體來說,我們的共同努力,SPDY、DNSSEC、HSTS以及類似的較小的協(xié)議改進都將幫助我們實現(xiàn)更好的安全。”
#p#
四、釣魚攻擊成為主要安全威脅
成功利用釣魚郵件對安全企業(yè)(例如Oak Ridge和RSA等)造成的數(shù)據(jù)泄漏攻擊為我們敲響了警鐘,一些專家嗤之以鼻的低技術(shù)含量攻擊方法也可能造成嚴重威脅。
美國能源部研究實驗室Oak Ridge近日宣布在發(fā)現(xiàn)在其網(wǎng)絡(luò)中存在數(shù)據(jù)竊取惡意軟件程序后,已經(jīng)關(guān)閉了所有互聯(lián)網(wǎng)訪問和電子郵件服務(wù)。
根據(jù)該實驗室表示,這次數(shù)據(jù)泄漏事故源于一封被發(fā)送給570名員工的釣魚攻擊郵件。這封電子郵件偽裝成該實驗室的人力資源部門的通知,當一些員工點擊嵌入在電子郵件中的鏈接后,惡意程序就被下載到他們的電腦中。
這個惡意程序利用了微軟IE軟件中未修復的漏洞,并且目的是搜尋和竊取該實驗室的技術(shù)信息,該實驗室的工程師們正在努力研制世界上最快的超級計算機。
Oak Ridge實驗室的官方發(fā)言人形容這次攻擊與安全供應(yīng)商RSA遭受的攻擊非常類似。
RSA數(shù)據(jù)泄漏事故導致了RSA公司的SecurID雙因素認證技術(shù)信息的被竊。而在本月初Epsilon發(fā)生的數(shù)據(jù)泄漏事故也被懷疑是有針對性的釣魚攻擊行為,這次事故是有史以來設(shè)計最多電子郵件地址的事故。
分析家表示,攻擊者能夠利用低技術(shù)含量、假冒電子郵件的方法來滲透入這些受到良好保護的企業(yè)表明了有針對性的釣魚攻擊日益成熟,并且存在這樣的趨勢,企業(yè)認為單靠教育員工就能夠緩解這個問題。
“這并不讓我感到驚訝,” 安全公司Invincea公司創(chuàng)始人Anup Ghosh表示,“幾乎每個公開的和發(fā)表聲明的高級持續(xù)性攻擊都是通過釣魚郵件開始的。”
事實上,現(xiàn)在這類郵件似乎成為攻擊者非法進入企業(yè)網(wǎng)絡(luò)的首選方法,他表示。
“你需要做的就是設(shè)立一個電子郵件目標,你只需要通過幾次電機就能夠在企業(yè)內(nèi)部建立幾個存在點,”Ghosh表示,“如果你企業(yè)有1000名員工,并且你教育他們不能打開不可信任的附件,還是會有那么幾個人會打開。這并不是訓練可以解決的問題。”
讓問題更嚴重的就是釣魚攻擊越來越復雜,分析師指出。
越來越多的有組織的攻擊團隊開始使用精心設(shè)計的電子郵件來針對高層管理人員以及企業(yè)內(nèi)部他們想要攻擊的員工。在很多情況下,釣魚郵件都是個性化的、本地化的,并且設(shè)計得好像是來自可信任來源一樣。
Ghosh表示,他上周就收到過類似的郵件。郵件發(fā)送到他的個人郵箱,看起來是一個好朋友發(fā)過來的郵件,包含一個能夠打開朋友的女兒生日派對照片的鏈接。郵件甚至還包含朋友女兒的名字。
郵件被標記為紅色,但是Ghosh在點擊鏈接后才發(fā)現(xiàn)紅色標記。“隨便看一眼就已經(jīng)能夠說服我去點擊鏈接,”他表示。
Spire Security公司的分析師Pete Lindstrom表示,“最近很多攻擊都是使用某種形式的釣魚攻擊,這個十分令人擔憂,我們總是很容易在一些安全基礎(chǔ)環(huán)節(jié)掉鏈子。”
公司必須定期記錄和監(jiān)測網(wǎng)絡(luò)是否存在這種釣魚攻擊造成的數(shù)據(jù)泄漏,他表示。
在釣魚攻擊中,企業(yè)必須更注重響應(yīng)和遏制,而不僅僅是預防,Securosis公司分析師Rich Mogull表示。
在這種攻擊中,企業(yè)常常面對的是擁有豐富資源、耐心和資金的對手。通常情況下,這樣的對手都愿意不斷嘗試直到他們攻入系統(tǒng)網(wǎng)絡(luò)。“幾乎不可能阻止這樣的人。”
因此,IT安全人員應(yīng)該注重最大限度地減少損失,Mogull表示。舉例來說,企業(yè)應(yīng)該考慮將網(wǎng)絡(luò)進行區(qū)域劃分,并在關(guān)鍵設(shè)備以及數(shù)據(jù)間建立“空間間隔”,以確保入侵者更難進入網(wǎng)絡(luò)。
同樣重要的是,企業(yè)需要廣泛地監(jiān)控內(nèi)部網(wǎng)絡(luò)以確保數(shù)據(jù)沒有泄漏出去。
“有針對性的釣魚攻擊已經(jīng)不都是低技術(shù)含量的攻擊形式了,”Gartner公司分析師John Pescatore表示。
并且,越來越多來自社交網(wǎng)絡(luò)(例如LinkedIn和Facebook)的信息被用于釣魚攻擊,這使釣魚攻擊更難被檢測,他表示,“在這些社交網(wǎng)絡(luò)上,有很多個人信息和朋友的名單,從這些信息中并不難獲取非常私人的電子郵件地址,”Pescastore表示。
此外,網(wǎng)絡(luò)安全工作(特別是政府機構(gòu)和研究實驗室,如Oak Ridge)往往側(cè)重于諸如URL阻止等問題,以防止內(nèi)部員工訪問色情或者非法網(wǎng)站,而不是阻止可疑的入站郵件。
“這讓他們更容易受到攻擊,如果用戶點擊了釣魚郵件的話,這也是員工經(jīng)常發(fā)生的事情,”他表示,“25年試圖通過宣傳和教育來提升員工的安全意識的經(jīng)驗證明,這是無法杜絕的。”
#p#
五、安全軟件和服務(wù)并不安全?
在我們電腦出現(xiàn)病毒,或者我們希望電腦可以抵御未知的安全風險時,我們常常想到的就是安全軟件和服務(wù)。這些產(chǎn)品和服務(wù)似乎讓我們感覺自己得到了保護。然而,近日國外的一項調(diào)查報告卻揭示,實際上,我們的安全軟件和服務(wù)也并非是“安全”的!你愿意接受這個殘酷的事實么?
近日Veracode發(fā)布的最新報告顯示,測試的大部分安全軟件和安全服務(wù)安全評分都“難以置信”的低,也就是所有商業(yè)軟件中超過65%的安全軟件服務(wù)安全狀況并不理想。
Veracode公司最新發(fā)布的軟件安全狀態(tài)報告顯示客戶支持軟件比安全產(chǎn)品以及服務(wù)更糟糕,其中82%的應(yīng)用程序評分都非常低,而相對的,安全軟件和安全服務(wù)軟件則是72%。
Veracode掃描的所有商業(yè)軟件中有66%的軟件在第一次安全掃描中都得到了“無法令人接受”的低分,安全產(chǎn)品和服務(wù)軟件的低分數(shù)是最令人震驚的。“這真的讓我們很驚訝,”Veracode公司產(chǎn)品營銷副總裁Sam King表示,該公司對超過4800個應(yīng)用程序進行了掃描分析,“這也解釋了最近在RSA、HBGary和Comodo發(fā)生的數(shù)據(jù)泄漏事故的原因,攻擊者開始瞄準安全公司以及其他垂直行業(yè),這里給我們的教訓是:你無法想象的是,安全供應(yīng)商可能都不安全。”
然而,商業(yè)軟件供應(yīng)商都能夠較為迅速地修復他們的產(chǎn)品,超過90%的供應(yīng)商在Veracode調(diào)查后的一個月內(nèi)讓他們的產(chǎn)品達到“可接受”的分數(shù)。并且安全供應(yīng)商更加迅速,平均在三天內(nèi)就讓他們的應(yīng)用程序達到可接受的安全狀態(tài),Veracode調(diào)查顯示。
但是為什么安全供應(yīng)商的軟件在最初的掃描分析中安全狀況如此之差呢?研究高級主管Chris Eng表示,問題在于安全供應(yīng)商面臨著與其他企業(yè)一樣的挑戰(zhàn):擁有安全經(jīng)驗的開發(fā)人員并不多。“他們不一定具備安全專業(yè)知識,”他表示。在參加Veracode在線培訓計劃的安全基礎(chǔ)知識考試中,超過50%的應(yīng)用程序開發(fā)人員只拿到C或者更低的分數(shù),而這個測試涵蓋了常見威脅和其他安全基本概念。這個考試只是作為培訓前的評估測試,超過30%的開發(fā)人員拿到D或者不及格,Veracode調(diào)查顯示。
“他們對于應(yīng)用程序安全基礎(chǔ)知識并不是很了解,而這些知識能夠幫助你更好地了解我們報道的其他統(tǒng)計數(shù)據(jù),”King表示。
選擇了Veracode公司的Java和.NET安全編碼課程以及加密介紹課程的開發(fā)人員中,有35%到48%的開發(fā)人員得到C或者更低分數(shù)。“這些課程的及格率比應(yīng)用程序安全基礎(chǔ)知識的及格率要高一點點,所以這個消息很令人振奮:通過良好的培訓與教育,他們能夠有更好的表現(xiàn),”King表示。
這次調(diào)查的其他發(fā)現(xiàn):19個web應(yīng)用程序中有超過8個應(yīng)用程序存在OWASP前十大常見漏洞,跨站腳本攻擊仍然是應(yīng)用程序中最多的漏洞。SQL注入攻擊漏洞平均每季度較低了約2.4%。
金融服務(wù)行業(yè)和軟件業(yè)是最積極處理安全漏洞的行業(yè),他們訂購了第三方軟件掃描來檢查軟件供應(yīng)商的漏洞情況。報告中要求漏洞證明的企業(yè)中超過75%的企業(yè)是來自于金融行業(yè)和軟件行業(yè),而航空航天和國防行業(yè)也開始要求他們的軟件供應(yīng)商對他們的漏洞負責任。
#p#
六、轉(zhuǎn)移到云意味著關(guān)注加密
繼最近索尼PlayStation網(wǎng)絡(luò)和電子郵件營銷公司Epsilon公司發(fā)生大規(guī)模數(shù)據(jù)泄露事故后,安全專家警告說,云服務(wù)用戶需要密切關(guān)注數(shù)據(jù)保護和加密.
存儲在互聯(lián)網(wǎng)可訪問的服務(wù)器上的信息,特別是客戶數(shù)據(jù)或者重要企業(yè)數(shù)據(jù),應(yīng)該使用加密技術(shù)進行妥善的保護,這不只是為了滿足行業(yè)和政府法規(guī), 而是為了維護企業(yè)利益, CloudSwitch公司的創(chuàng)始人兼首席技術(shù)官John Considine表示.
攻擊者偷走了大約100萬來自索尼賬戶的信息,以及Epsilon數(shù)百萬的電子郵件地址以及其他信息.
“當數(shù)據(jù)位于你的數(shù)據(jù)中心,且在你的控制之下,你有訪問權(quán)限控制,并且你知道誰可以訪問這些數(shù)據(jù),” Considine表示,”當你轉(zhuǎn)移到云服務(wù), 這些完全取決于別人.”
在最近的數(shù)據(jù)泄露事故中,索尼聲稱已經(jīng)加密了所有信用卡信息,但是其他身份信息并沒有進行加密, Epsilon同樣沒有妥善保護其數(shù)據(jù).
你不能總是指望軟件即服務(wù)供應(yīng)商能夠全面加密你的數(shù)據(jù), SafeNet公司首席技術(shù)官Russ Dietz表示.
“我們?nèi)匀挥泻荛L的路要走, “ Dietz表示, “軟件即服務(wù)供應(yīng)商可以部署加密技術(shù),但是將這些技術(shù)整合到他們的系統(tǒng)中需要花很多時間,我們?nèi)匀惶幱谠缙诎l(fā)展階段.”
企業(yè)需要為他們自己的數(shù)據(jù)安全負責人,這意味著不僅要加密存儲在虛擬系統(tǒng)的數(shù)據(jù),而且需要使用加密來對訪問這些數(shù)據(jù)的人進行適當?shù)纳矸蒡炞C.
身份驗證是與保護數(shù)據(jù)同樣重要的,即使在rootkit允許攻擊者從內(nèi)部訪問網(wǎng)絡(luò)的情況下,基于公鑰基礎(chǔ)設(shè)施(PKI)的多因素身份驗證也可以減小對重要數(shù)據(jù)的威脅.
幾乎所有木馬程序和高級持續(xù)性攻擊都是基于獲取身份信息的,但是如果使用了強大的身份驗證和公鑰基礎(chǔ)設(shè)施, 攻擊者就沒辦法獲取數(shù)據(jù)信息了,” Dietz表示.
隨著數(shù)據(jù)迅速累積,加密所有信息成為一項艱巨的任務(wù). 大多數(shù)企業(yè)應(yīng)該確定他們最有價值的數(shù)據(jù),并從這些數(shù)據(jù)開始進行加密計劃, Considine表示. 重要企業(yè)數(shù)據(jù)或者法規(guī)規(guī)定的個人識別信息應(yīng)該是首要加密數(shù)據(jù).
“企業(yè)處理信息的最佳做法應(yīng)該在于確定哪些人有怎樣的訪問權(quán)限, 在關(guān)鍵區(qū)域部署加密技術(shù), 然后嚴格限制誰可以訪問加密組件和未加密形式的數(shù)據(jù), “ Considine表示.
下一步就是確保存儲在云服務(wù)中的數(shù)據(jù)與其他存儲在企業(yè)虛擬機中的數(shù)據(jù)分隔, 因為這些數(shù)據(jù)可能共享相同的云基礎(chǔ)設(shè)施. 雖然很多基礎(chǔ)設(shè)施供應(yīng)商聲稱機器是隔離帶, 企業(yè)也可以添加加密技術(shù). 如果沒有額外的安全保護, 任何對其他虛擬機器有訪問權(quán)的攻擊者都可以訪問其他系統(tǒng)的關(guān)鍵數(shù)據(jù).
“這些類型的數(shù)據(jù)泄露中,攻擊者從系統(tǒng)到系統(tǒng)移動,試圖找到漏洞, “ Considine表示, “如果沒有加密的話, 他們就能夠獲取更多相鄰系統(tǒng)的信息. ”
在云服務(wù)環(huán)境部署加密的最后一步是減少對數(shù)據(jù)的訪問,和使用強大的多因素身份驗證. 良好的加密和多因素身份驗證可以阻止側(cè)重于獲取企業(yè)機密的攻擊者,也就是所謂的高級持續(xù)性攻擊的情況.
“對于用戶的身份信息,加密技術(shù)和強大的身份驗證能夠消除所有這些入站攻擊, ”Dietz表示.
