从现实世界的数据突破中吸取的五个教训
2009-09-12 00:00:00 来源:WEB开发网企业中一个不成文的规则是越少说安全突破的事件就越好。对于每一起公开披露的窃取数据事件来说,都有十几起没有披露的窃取数据事件。
这种“缄默法则”可能会避免激怒合作伙伴和客户,回避公共关系的混乱,但是,这种做法会让整个行业很难从这些教训中学习经验并且改善信息安全和风险管理的做法。这是本文从现实世界的安全突破中直接提取观点的原因。我们进行了证据调查以帮助企业理解安全突破是如何发生的以及如果应对这些安全突破。
我们合作的Neohapsis公司对一些特大的敏感数据盗窃案件进行了调查。经过调查了数百个案例之后,我们明确地说攻击者比以前更高级了。他们能够适应性地利用松懈的安全控制和操作做法,配备了从通用网络管理工具到客户恶意软件在内的各种武器。信息安全策略和技术也在进步,但是,没有攻击者的进步快。
庆幸的是,有许多合理的、容易理解的方式来缓解我们曾经看到过的任何安全突破。我们只需要更广泛地应用这些方法。
三种现实世界中的安全突破
第一种安全突破:一个公司的网站经常是攻击者的登陆场。在我们对一家金融服务公司进行的调查中,攻击者利用了他们在一个面向公众的Web服务器中的一个Web应用程序中发现的安全漏洞。这台服务器中没有任何重要的数据,对于这个机构并不是很重要,而且这个安全漏洞也不是很严重。攻击者发现了一个 SQL注入攻击安全漏洞,然后使用一个“xp_cmdshell”功能破坏那个服务器上的工具以便获得那个服务器的立足点。因为机构没有认为这台服务器或者这个应用程序特别重要,因此没有对它们采取监控措施,这个安全漏洞就没有人注意。
第二种安全突破:攻击者利用这个被攻破的服务器作为自己的基地。他们部署了工具和扫描器,用几个月的时间小心地绘制这个网络的图,并且没有被人发现。他们一旦发现这些系统包含他们要寻找的数据,他们就会复制这些信息,把信息打包成一个Zip文件并且发送出去。一般来讲,机构有标准的杀毒和防火墙技术。但是,机构知道这个攻击的唯一原因是现实世界中使用了这个被盗窃的数据。如果不是这样,机构可能会仍然忽略这个安全突破。
更多精彩
赞助商链接