年度安全泄露事件启示录

译者： 沉香玉 原作者：Maria Korolov

发表时间：2014-11-20

软件的大部分代码并不是由企业自己编写的，软件实际上更多地是拼凑而成而非编写的。软件商把商业组件和开源组件直接拿来，只是在其顶层构建了一丁点的定制功能。

年度安全泄露事件启示录

　　据国际开放安全基金会（the Open Security Foundation），有史以来最糟糕的十大安全漏洞事件中，今年就发生了三起。它们分别是纽约出租车及豪华轿车1.73亿条记录泄露事件、易贝（Ebay）1.45亿条用户信息泄露事件，以及韩国信用局1.04亿条银行与信用卡信息被盗事件。这还不算已报出的俄罗斯黑客盗取12亿用户名和密码资料事件，以及最近发现的韩国游戏网站2.2亿记录被盗事件。

　　根据国际开放安全基金会及里士满病毒风险安全公司（Richmond, Vir.-based Risk Based Security Inc.），2014年猛超2013年成为史上泄露记录数最多的年份。

　　如果要从错误中吸取教训的话，那么今年必定是安全教育领域收获颇丰的一年。

　　那就一起来学习一下吧。

1、是时候好好对待员工了

　　信息安全领域最大的安全漏洞或许完全没技术什么事。

　　“2014年，大约有40%的安全岗位空缺，”惠普企业安全产品首席技术官雅各布·韦斯特（Jacob West）说。“你要是再看看高级安全岗位，空缺率更是将近49%。不管我们使用什么样的技术，也无论我们如何努力确保我们的系统安全，但如果我们缺兵少将地加入这场战争，那我们也只有乖乖缴械投降的份。”

　　韦斯特说的是今年春天由惠普发起并由波耐蒙研究所（the Ponemon Institut）发布的一项研究报告。报告还显示，70%的受访者称，他们的安全部门人手不足；43%的受访者表示，他们安全部门缺乏有竞争力的薪酬制度。

　　今年五月发布的由IBM公司发起的另外一项波耐蒙研究报告表明，数据泄露的平均总成本增加了15%达到350万美元，而为丢失或被盗的包含敏感信息和机密信息在内的每条记录所支付的平均成本，则从2013年的136美元增加到了今年的145美元，增长超过9%。受该报告影响，各公司可能会重新考虑他们的安全人员预算。

2、搞明白你的代码吧

　　在过去的十年里，许多单位都已经应用了软件安全最佳实践，构建了基本的安全机制。

　　然而，这也只适用于编写自己的代码。

　　“有一个重大关键点今年终于暴露出来了，尤其是像在Uxix中广泛使用的Bash shell漏洞以及OpenSSL出现的Heartbleed漏洞——那就是软件的大部分代码并不是由企业自己编写的，”韦斯特说。“软件实际上更多地是拼凑而成而非编写的。我们把商业组件和开源组件直接拿来，只是在其顶层构建了一丁点的定制功能。”

　　结果，一些单位为此耗费数周乃至数月去盘点评测他们的系统，尝试找出哪里使用了易受攻击的SSL版本。

　　单位需要开始彻底了解他们在什么地方如何使用了什么样的应用程序，以及它们的相对重要性。自动扫描系统或许可以对此有所帮助，不过到了晚上，韦斯特说，“还是得落到实处，靠人力来解决。”

相关数据
40%
2014年40%的安全岗位空缺。

70%
70%的单位安全部门人手不足。

300万美元
每次数据泄露的平均总成本高达300万美元。

145美元
为丢失或被盗的包含敏感信息和机密信息在内的每条记录所支付的平均成本高达145美元，比2013年增长超过9%。

3、渗透测试是骗人的

　　渗透测试是安全审计中的常见部分。事际上，这种测试需要在支付卡行业数据安全标准下进行。

　　“每一个被攻破的公司都有渗透测试报告称系统无法被侵入，或者说，即使被侵入也危害不大，”印第安纳波利斯鲁克安全渗透测试公司（Rook Security）首席执行官汤普森（J.J. Thompson）说。

　　那么为什么不是这些渗透测试暴露出潜在的安全漏洞，以便让这些公司进行修复呢？

　　“很简单，”汤普森说。“渗透测试报告基本上都是信口雌黄。”

　　或者说得更委婉一点，那就是与实际的黑客相比，渗透测试人员能做的和不能做的都受到了限制。

　　“你不能冒充别人，因为我们不是那样做事的，”汤普森说。“你也不能建立一个钓鱼网站与脸谱（Facebook）上的个人资料相关联，那就太离谱了。”

　　真正的黑客，一旦入侵一家公司，实际上就已经触犯了法律。白帽子安全公司可能不会通过追踪客户或供应商系统、假扮政府官员、损坏设备、劫持公司员工家人或朋友的社交媒体账户等方式入侵一家公司。

4、物理安全遭遇网络安全

　　最近一个外国组织的代理盯上了美国东海岸的某组织，绕过防火墙，提取领导层数据，获取未来活动信息，并侵入了活动举办场所的设备。

　　“当局认为，这是该集团预先动作计划的一部分，”刚刚从反恐协调员和国土安全部情报与分析代理副部长职位上退下来的约翰·科恩（John Cohen）说。

　　“这是一起同时涉及网络安全与物理安全的事件，”现在身为得州弗里斯科安全厂商加密有限责任公司（Encryptics LLC）首席战略顾问的科恩说。

　　该事件通过物理入侵，借助缺乏抵抗力的设备，打开了数据盗取之门，可以干的事情会很多。

　　企业安全必须更加全面。进入某区域办公室的入侵者可以寻找易入侵的电子设备，也可以植入键盘记录器。

5、从长计议（一）

　　如果你清楚地知道黑客即将入侵你的系统，你该如何呢？

　　经过今年备受瞩目的漏洞事件后，很多人都在问自己这个问题，并开始对信息安全有了不同的看法。

　　“我所看到的，以及我日常接触的人们大致上所看到的，在处理安全问题的方式上有一种开关心态，”美国计算机行业协会（CompTIA）IT安全社区主席、波士顿反射网络有限公司（Boston's Reflexion Networks, Inc.）品管副总裁斯科特·巴洛（Scott Barlow）说。“企业都是假设他们的数据将会暴露，或者已经暴露，才去采取措施。”

　　这些措施包括对员工桌面数据、文件服务器、甚至电子邮件进行加密。

　　一种被称作口令化的进程以随机生成密码或口令甚至在刷卡机上设点的形式取代了银行卡号，只有支付进程知道真实的卡号，零售商获得的口令对侵入他们系统的任何黑客都毫无价值。

　　这样就把支付进程推到了风口浪尖，尽管在此之前支付进程一直是被攻击的目标。

　　“黑客已经追踪我们很久了，”占美国支付业务40%的第一资讯公司（FirstData）网络安全解决方案高级副总裁和总经理保罗·克雷辛兹（Paul Kleinschnitz）说。

　　而与此同时，零售商塔吉特（Target）和家得宝（Home Depots）则不必担心支付数据的丢失风险。

　　“我们将数据丢失风险从商家那里拿走并进行处理，”保罗·克雷辛兹说。

6、从长计议（二）

　　如果摩根大通可以被攻破，那每个公司都将是非常脆弱的。

　　“即使你准备好了最好的安全方案，你仍然有机会被攻破，”华盛顿特区韦斯布罗德马泰斯和科普利律师事务所（Weisbrod Matteis & Copley）一名专攻计算机犯罪的律师彼得·托伦（Peter Toren）说。托伦在美国司法部计算机犯罪署当过八年的联邦检察官。

　　公司如何应对入侵所产生的结果会截然不同。

　　今年春天，塔吉特首席执行官和首席信息官因公司去年年底卷入的4000万支付卡账户泄露事件而双双离职。

　　“问题是一点一滴暴露的，”托伦说。“就像被凌迟处死。”

　　公司需要随时准备好果断而及时地应对泄露事件，而这些准备工作要在攻破发生前很早就要开始着手。

　　“他们需要提前计划好，并事先与一家公关公司达成合作，”他说。“而不要事后诸葛、马后放炮。”