2018安全形势预测及建议:数据推动产业发展,确保其完整性是实现安全的关键
作者:Palo Alto Networks副总裁及亚太区首席安全总监Sean Duca
【慧聪通信网】对于企业来讲,要说2017年是充满挑战的一年,未免太轻描淡写。人类社会高度互连,对于企业来讲,网络攻击并非遥不可及之物,它就在前方可见之处,需要我们有预案予以防备。所有企业,都应该保有一定水平的“网络洁癖”,需要定时备份数据、为其系统及应用打上补丁、尽量缩小其数字资产的受攻击面。
2018年,我们仍然需要借助新技术来变革我们的经营之道,这就有必要对相关安全顾虑有所周知,从而降低风险,甚至可以不采用技术便可实现这种变革。我们需要对现有的和潜在的风险有所了解,并且知晓如何做才能减少或者消除这些风险,只有这样我们才能时刻保持警戒之心,想网络罪犯之所未想,做网络罪犯之所未做。
1.云就是别人的电脑,保护信息安全要常抓不懈
近日新闻中,“第三方云存储”这个字眼被反复提及,尤其是亚马逊的简易存储服务(Simple Storage Service,S3)。在AWS服务中有一项名为“bucket”的功能,它是AWS云服务中用于在线数据存储的容器,用于存储敏感信息。
已经有企业因为错误配置AWS S3 bucket功能而泄露敏感信息的案例。最近几个月中,信息泄露案件层出不穷,这些遭泄露的信息包括:敏感文件、密码、家庭住址、客户数据库以及超过1.8亿美国选民的个人信息。这些泄露事件,都是因为S3 bucket配置错误引起的,任何人都可以通过网络自由获取这些数据。
Bucket可以进行特定安全设置,这也是泄露问题的症结所在,究其原因,乃为人祸。
与其他云供应商一样,AWS遵循的是共享安全责任模式,即亚马逊负责云端和基础设施的安全,其中包括:网络、存储以及计算。而另一方面,云上数据的安全则是由客户负责。当你开放数据给所有人时,一旦数据泄露,很明显错在客户一方而不是AWS。这种现象绝非AWS仅有,其他云平台或者数据资源库也会遇到同样的问题。
现在,企业所普遍面临的挑战是:是否有必要开放bucket以供外界浏览,从而导致数据自动曝光。这种操作风险巨大,原有数据很可能会被覆盖。一旦有黑客锁定了那些可以进行修改的bucket,他们就有能力上传恶意软件到bucket里并重新写入文件。此外,如果你将代码存入此类资源库,其他人就有机会对其进行篡改。
现在,利用网上的一些工具,黑客们就可以轻松的使用关键词搜索到企业的bucket,如果正巧这个bucket已经开放为可读/可写,那黑客们就很容易对这个bucket进行修改。
现在,大多数企业已经着手或者开始向云端存储数据、向云端迁移或者安装各类应用,这就要求每个企业必须能够查阅并确认究竟是谁在访问他们的数据或者应用,并且能够基于近期发生的事件,预见到是否会有人来查阅他们的数据。但如何进行风险管理,还是需要企业自己来完成。因此,企业应该深入思考以下问题并获得答案:
•有哪些敏感数据在云端存储?数据泄露会带来哪些影响?
•在贵单位员工和第三方合作伙伴里面,谁有权限可以直接访问到这些敏感数据?
•这些数据是如何受到保护的?贵单位采取的保护措施能否满足消除风险所需的安全等级?
2.数据推动产业发展,确保其完整性是实现安全的关键
信息安全的基本原则包括:保密性、完整性和可用性。
传统意义上来讲,大多数攻击所针对的还是保密性和可用性:攻击者采用攻击或偷窃等方式来获取知识产权或者数据,以及然后实施拒绝服务攻击,阻止用户访问相关信息和系统。企业运作是如此依赖保密性和可用性这两点,以至于我们常常忽略了另外一点:完整性,而这一点所面临的挑战相较前两个有过之而无不及。
数据是新的推动力。它推动着企业向前发展,横扫从企业运行到政府机关推行新政等一切领域。现在,数据偷窃所带来的风险已经为大众所熟知,但黑客正在改变窃取数据的方式,不是简单的将数据清空而是对数据进行篡改,这种危害性往往更大。
保持数据完整性,就是要确保只有授权用户才有资质访问相关信息或者对其进行修改。针对数据完整性的攻击,就是要破坏掉这种唯一性,让黑客可以在未经授权的情况下访问并修改这些数据,进而满足一己之私,如获得经济利益、损毁名誉或者仅仅让这些数据变得一文不值。
在金融市场,错误数据必将带来致命一击甚至导致市场崩盘。比如,通过修改销售数据引起公司股票行情波动。此外,提供公共服务的部门、智慧城市以及其他IoT系统,从交通信号灯到供水系统,如果这些部门和系统运行所依赖的数据被篡改,其结果必将是混乱和致命的。
所有企业都应该从现在就开始探讨如何做才能有效阻止此类攻击的发生。总结起来包括:
•教育员工和客户如何操作才能实现安全,确保个人数据得到有效保护。这有助于加深员工对如何保护公司数据的理解。
•要熟悉你的数据,它是如何生成的,如何采集的,数据中哪些内容是最为敏感的。在开始考虑如何保护这些数据之前,更重要的是要对你所要保护的数据做一个全面的了解。
•借助多因子认证,提供额外安全层次的防护来保护用户名和密码。这一安全措施将唯你“所知”和“所有”的特殊因素引入,而不仅仅是通用模式比如密码。
•利用加密技术来保护敏感数据,不论它是部署在本地,还是部署在云端或者在混合环境中。一旦有人胆敢窃取这些如同“王冠上的珠宝”一样珍贵的敏感数据,或对其进行破坏和篡改时,我们要有能力对产生的影响加以限制。加密是唯一的可采取的战略性管理方法。但企业要确保密钥的安全,需要采取一定的措施,比如将其存储于安全的硬件模块中。换句话说,哪怕你用的是世界上最好的门锁来锁你的房子,但如果你把钥匙藏到了地垫下面,而恰好被在此经过的家伙看到并偷走,这样也是不安全的。
责任编辑:贾巍