回归最本质的信息安全

未来,企业要如何对数据泄露进行缓解与修复

2017年12月27日发布

26,289
0
3

导语:本主题我大概会分为5个部分,每个部分的侧重点都有不同,这5个部分是: 1.由于人为失误而导致的数据泄露; 2.如何从制度的源头上保护数据; 3.企业对待数据泄露问题的态度; 4.漏洞赏金模式; 5.数据泄露处理建议。 由于人为失误而导致的

security.txt.jpg

本主题我大概会分为5个部分,每个部分的侧重点都有不同,这5个部分是:

1.由于人为失误而导致的数据泄露;

2.如何从制度的源头上保护数据;

3.企业对待数据泄露问题的态度;

4.漏洞赏金模式;

5.数据泄露处理建议。

由于人为失误而导致的数据泄露

既然要进行数据修复,那肯定就得谈谈数据是怎么泄露的。只有知道事情发生的原因,才能找到对应的解决办法。

仔细想想,目前大多数的数据泄露都或多或少的有人为失误的原因。比如,

我以前写过关于vBulletin多年来一直被SQL注入漏洞的问题困扰着,vBulletin是一个强大,灵活并可完全根据自己需要定制论坛程序套件。它使用目前发展速度最快的Web脚本语言PHP编写。由于该漏洞是代码中的错误所导致,(通常是非参数化的SQL查询),直到今天,它仍然是OWASP Top 10中的头号风险。不过,由于在该平台上运行的站点都不主动更新补丁,所以这个问题越来越严重,而这就是由于管理员的错误而导致的。

特别是从去年以来,公开曝光的大规模数据事件层出不穷。比如美国的雅虎邮箱事件,澳大利亚的红十字献血信息泄露事件……,这些事件都是由于访问控制错误而导致的。

再比如另一个经典的漏洞,直接对象引用。该漏洞在2013也被 OWASP列进了Top 10,现在该漏洞已经被归入“失效的访问控制”中。这种编码错误意味着任何人都可以远程访问尼桑LEAF的行程历史和电池状态,并控制其加热和冷却系统。 

由于人的无知而造成的数据泄露

除了上面讲的人们知错犯错的漏洞之外,还有一些安全问题人们压根就没有意识到。

1.jpg

你可以看看我的另一篇名为《如何构建密码重置功能》的博文,看看我是如何发现这种错误的。

2.png

上图的代码段中有两个SQL语句:第一个是SQL语句对SQL注入具有弹性,第二个SQL语句将导致你的数据库被调用。

安全教育可以把人为原因的风险降至最低

很多公司认为安全防护只是买个某个公司的安全产品这么简单,产品安装完之后也不进行后期管理。这样做是很不负责任的,再好的产品也得需要你会用才行,如果你操作不当或是犯低级错误,那该有的攻击还是会有的。

另外,从投资回报角度来讲,与其等事后,再花大力气去修补,还不如花少量的钱对员工进行安全教育,防患于未然。比如,2015年TalkTalk的四百万客户的私人信息和金融信息被泄露了。事后调查,是一名16岁的青年所为,且只进行了一次简单的SQL注入式攻击。为了解决这次攻击的后果,TalkTalk花费了4200万英镑。

TalkTalk-Fine.jpg

数据管理和治理之间有什么区别呢?数据治理是指将企业、规范、决策权、员工责任和信息系统作为其执行信息决策流程的依据。以上数据泄露的问题上,或多或少都与数据治理相关。基于此,可以看看企业将如何保护企业系统的安全?同时,企业要怎样做才能停止或大幅减缓数据泄露事件的发生?

如何从制度的源头上保护数据

上面我说的是数据泄露发生的原因,接下来就说一说数据泄露之后的补救措施。比如发生代码编写错误或部署了错误的服务器配置,我们应如何应对?接下来,我就要从GDPR来谈谈数据泄露对个人和组织的影响。

5.jpg

GDPR,全称为General DataProtection Regulation,通用数据保护条例,此条例在2016年4月被欧盟通过,实际上是1995年欧盟「EU法规95/46/c」法规(数据保护指令)的更新版本,该法规将于2018年5月25日开始正式生效并实施。

届时数以万计的企业必须遵守GDPR规定的一套全新数据管理规则。虽然人们对“一般数据保护条例”(GDPR)的意见和见解有所不同,但人们所提出的最多的三个问题是:

1.GDPR是什么,将对我的组织有何影响?

2.我的组织需要做些什么?

3.如何利用云计算来确保合规性?

一般数据保护条例为欧盟公民数据处理制定了一套统一的法律和更严格的规定,也规定了对违规行为的严厉处罚。这些罚款是以行政罚款的形式出现的,可以对任何类型的违反GDPR行为进行处罚,包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。

适用主体:

1.在欧盟成员国有法人实体的公司;

2.在欧盟没有设立实体公司,但因为业务关系而持有欧盟居民个人资料的公司。

也就是说,全世界各地的公司,在欧盟成员国境内开展业务时,必须保护欧盟成员国民众的个人资料与隐私,即使您的公司不在欧盟境内做生意,但只要您的公司有任何来自欧盟成员国的客户,你就受到GDPR的管辖。

欧盟发布这个新规定的主要原因是:

1.为欧盟公民提供更多使用自己的个人资料的权力;

2.加强数字服务提供者与他们所服务的人之间的信任;

3.为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。

比如对于在欧盟境内有分支机构的中国公司,分支机构将被作为责任主体来强制执行法律要求。 如果没有在欧盟境内设有机构,欧盟将缺席判决,一旦境外公司高管进入欧盟境内,将直接强制执行。中国企业首当其冲的是银行、电子商务、互联网、IT企业和软硬件生产商。

4.png

中国企业面临三个选择:

1.停止向欧盟居民提供互联网服务(包括免费的服务);

2.接到罚单后再去面对;

3.主动完成欧盟GDPR的合规性要求。

企业对待数据泄露问题的态度

毫无疑问,目前数据泄露事件频频发生,许多大型企业都出现过非常严重的数据泄露事件。比如,JP Morgan的数据泄露是由于一名员工在家办公引起的,攻击者利用VPN连接来提取数据,而美国零售巨头塔吉特(Target)则是因为一封钓鱼邮件而泄露了7000万的用户个人信息和4000万的信用卡数据。

对于数据泄露,企业不能坐视不管、无所作为,或继续做着以前做的事情,没有任何改变。

大数据的应用是为了更好的服务用户,让用户享受更便捷,更简单,更个性化的产品。企业可以通过大数据技术,和用户进行更快的沟通,能让用户知道他的信息是不是被盗用了,是不是他本人在用这些信息。从这个角度来看,在对待用户数据时,企业应该去把他们还原为有血有肉的个体,而不是当成简单的数据。虽然现在没有明确的法律规定大数据中的隐私数据应该如何使用,但对待这些数据的态度,体现了企业责任感,也会影响一家企业能否长远发展。

漏洞赏金模式

如今专门出现了一批靠寻找软件漏洞过活的人,他们将发现的漏洞报告厂商,并因此获得丰厚奖励。这些人,我们称之为“漏洞赏金猎人”。

从Facebook到苹果(Apple),大公司的“漏洞赏金”项目提供了大笔现金和其他战利品,奖励给那些能够找到安全漏洞并上报给受影响公司的黑客。

纳撒尼尔-韦克拉姆(Nathaniel Wakelam),一位21岁的澳大利亚小伙,每年靠寻找漏洞就能挣25万美元。他并没有在吹牛,他曾经在一次24小时的“搜找漏洞马拉松”中获得了3千美金,也就是2万人民币的赏金。

3.jpg

未来,很多公司都会把漏洞“猎人”作为其安全策略的一部分。

数据泄露处理建议 

1.转变态度,要从“事件响应”转变到“持续响应”,企业内部的系统需要持续的监控和矫正; 

2.采取自适应的安全架构来保护企业不受高级攻击;  

3.防御上的投资要少一些,将更多的资本投入到检测、响应和预测上;

4.支持环境感知网络,以及供应商提供的终端和应用安全保护平台,同时整合预测、防御、检测和响应的能力;

5.开发一个安全操作中心,支持持续检测,并负责持续威胁保护流程; 

6.在IT堆栈的所有层上,包括网络数据包、流量、操作系统活动、内容、用户行为和应用交易等方面进行全面的、持续的检测。  

如今的网络犯罪非常专业,而且往往是国家层面的,这些网络犯罪具有良好的经济支撑且组织周密。它们通常是对全球范围的互联网进行全天候的攻击,主要目标是知识产权和金融资产。 当然,企业不能仅仅达到合规性。他们还需要具有前瞻性和主动性,其中包括持续的PEN测试、培训用户,并关注最新的检测IOC的方法。

本文参考自:https://www.troyhunt.com/fixing-data-breaches-part-5-penalties/ https://www.troyhunt.com/fixing-data-breaches-part-4-bug-bounties/ https://www.troyhunt.com/fixing-data-breaches-part-3-the-ease-of-disclosure/ https://www.troyhunt.com/fixing-data-breaches-part-2-data-ownership-minimisation/ https://www.troyhunt.com/fixing-data-breaches-part-1-education/ 如若转载,请注明原文地址: http://www.4hou.com/business/9477.html

点赞 3
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

嘶吼编辑

发私信

发表评论