数据泄密是公司企业不得不面临的严峻现实。但是除了准备好一项数据泄密响应计划外,IT部门怎样才能最有效地预防和缓解数据泄密事件吗?不妨从这里开始:
1. 落实一项到位的信息安全计划。
据身份窃取资源中心(Identity Theft Resource Center)最近所作的一项调查显示,2011年的数据泄密事件中绝大多数是由黑客引起的;而在2012年的头一个月,新的泄密事件似乎多半也是由黑客引起的。
2. 实施强密码机制。
本月初早些时候,神出鬼没的黑客团伙TeaMp0isoN将一份清单上传到了Pastebin网站,这份清单里面有大约80名T-Mobile雇员的用户名、密码、电子邮件地址、电话号码和密码。值得关注的是,许多T-Mobile员工的密码只是简单的“112112”或“pass”——如果说它们还算是真正的密码的话。在发到Pastebin的帖子中,TeaMp0isoN毫不留情地指出密码显然缺乏多样性。据说该团伙与国际黑客组织Anonymous共同策划了近期一场名为罗宾汉行动(Operation Robin Hood)的活动,入侵众多信用卡帐户,将非法所得钱款捐给了需要的个人或组织。“看一看这些密码吧,真的太失败了。所有密码都通过一名管理员,手动发给了员工,而这名管理员使用一组同样的密码。”
3. 隐藏泄密事件,后果自负。
赛门铁克本月初证实,本月早些时候黑客泄露诺顿软件源代码,确有其事。但是赛门铁克对这起事件作了低调处理,声称来自其两款旧产品:Endpoint Protection 11.0和Antivirus 10.2的代码是由于第三方而被窃取的。换句话说:这是旧代码,没什么看头,大家不必理会。
据路透社报道,可是仅仅过了两周后,赛门铁克就坦白承认:旗舰产品诺顿软件的代码早在2006年就被窃取了。这就加大了这种可能性:早在那时拥有诺顿源代码的任何人都也许找到了方法,利用赛门铁克的安全软件来危及用户的机器。
4. 慎重评估通知泄密事件的速度。
企业发现泄密事件后,必须处理好以下两个方面的关系:一个是需要尽快收集大量信息,另一个是及时发布内容明确的通告。Ted Kobus是美国贝克豪思律师事务所(Baker Hostetler)的隐私、安全和社交媒体团队全国负责人之一,他在博文中表示:“确保透明是与客户和监管部门保持畅通关系的关键;务必要确信你事先已明白泄密事件的影响范围,然后再公布也不迟。”
5. 事先要料到数据可能会泄密。
为什么不为这种最糟糕的情况作好计划:贵公司存储的所有数据都泄密了。如果这样,接下来会发生什么?怎样才能最有效地预防这种情况?知名调研机构加特纳集团的调研主任Lawrence Pingree在接受采访时说:“说到安全,没有什么灵丹妙药;所以你需要为难免会发生的数据泄密作好计划。泄密后如何应对将至关重要,而不是仅仅通过法律赔偿和信用监控来弥补。大多数公司在这些数据泄密事件过后提供信用监控服务,但是这些服务大多数只持续一两年,谁说数据会在一两年内消失?”
6. 加密所有敏感数据。
如果泄密的数据之前经过了加密,数据泄密通知法律准许公司企业可以不必发布通告。因而,只要有可能,就要加密所有传输中的数据以及静态数据。贝克豪思律师事务所的Kobus说:“加密不仅仅是一项安全手段,还是客户和监管部门认为应该具备的手段。”
7. 让你自己的数据过期作废。
如果失窃的数据没有失效日期,那么公司就要自行删除自己的数据。去年黑客窃取了过时的客户信息后,加拿大本田公司和索尼都遭了殃,因为这两家公司都没有及时删除这些信息。丰田公司的泄密事件似乎致使该公司违反了加拿大的隐私法;该国隐私法要求公司删除不再需要的任何个人信息。不过,大概所有公司都应当遵循这个做法。
8. 提防社会工程学会伎俩。
说到窃取敏感数据的成本低、影响力大的花招,攻击者在社会工程学攻击这个方面已变得相当老到。Kobus说:“攻击者想出了新花样,利用社会工程学工具非法获取个人信息。”因而,要不断培训处理敏感信息的所有员工,教他们学会检测和抵制欺骗性的电话和电子邮件,包括鱼叉式网络钓鱼(spear-phishing)攻击。
9. 要求数据发现服务。
泄密的数据往往最后出现在从黑市信用卡诈骗网站到对等网络的各个地方。虽然从理论上来说泄密的数据可以清除,但前提是先得找到数据。因而,预计相关的商品化服务很快就会随之而来。Pingree说:“将来的策略就是……请服务商追查泄密的数据,并且让企业客户了解数据位于何处。”
他说:“连谷歌也可能涉足这种技术。谷歌具有搜索功能,它只要开始分析数据、检索数据,就能够比较主机数据和互联网数据,然后将对等网络添加到检索对象中。”虽然目前市面上还没有这类服务,但是由于层出不穷的数据泄密事件丝毫没有停下来的迹象,预计不久会看到这类服务涌现出来。