當前位置:
首頁 > 最新 > 2017年的數據泄露帶給我們的經驗與教訓

2017年的數據泄露帶給我們的經驗與教訓

今年,我盡自己所能協助各大企業和組織處理了很多安全事件。就我個人的經驗來看,我所觀察到的東西跟2016年的情況幾乎沒有什麼區別。其中,以下兩個因素會對安全事件產生重要影響:

1.過度暴露高風險機密-這種因素是導致嚴重安全事件發生的主要原因,很多影響嚴重的事件都具備這種特徵。

2.受害用戶的可用日誌-它既是幫助組織從攻擊事件中快速恢復的良藥,也是導致用戶重要憑證信息被盜的「罪魁禍首」。

而在這篇文章中,我將給大家提供一些新的觀點,並跟大家一起從2017年所發生的數據泄露事件中吸取經驗和教訓。


優秀的安全團隊需要知道自己的「戰場」在哪裡


對於「跨多個公司間安全團隊協同合作」這個概念而言,今年絕對是一個重大突破和勝利。其中,最典型的案例就是OneLogin以及Cloudbleed的數據泄露事件。

擁有優秀網路安全團隊的公司數量正在迅速增加,而且他們也逐漸能夠理解和區分各自客戶代表給他們反饋回來的各種不同的安全信息了。

雖然很多公司在遇到數據泄露等安全事件時,沒有辦法去適當的處理。但很多公司會選擇進入「響應模式」,然後跟其他團隊分享事件信息,並討論如何緩解安全事件所帶來的影響(包括告訴客戶如何採取相應措施來保護自己)。因此,更加緊密的信息共享讓這些團隊能夠更加快速、有效和自信地處理安全事件了。


「出去走走,多交些朋友。」你可以多去各種社區逛逛,多跟競爭對手的安全團隊交流,分享各類安全事件的處理過程,努力成為社區中一名優秀的成員。


記者跟公司僱員之間的直接聯繫越來越多


在我看來,各種告密以及內幕泄露也成為了今年的一種趨勢。今年很多公司都發現,越來越多的記者開始通過社交媒體平台或者加密聊天應用來跟企業僱員進行頻繁的聯繫,而這些記者往往會直接跟他們詢問一些非常「敏感」的信息,尤其是一些涉及到企業業務計劃和新產品的相關內容。

這種情況跟我在前幾年見到的有些不同,因為企業員工跟外部的這種「接觸」變得越來越頻繁,而且針對員工的垃圾郵件也越來越多,這將會大大增加員工泄露重要機密數據的可能性。


企業和組織應該儘可能地限制這類「交流」的發生,並要求員工按照「無可奉告」政策來行事。如果不得已需要跟記者或媒體聯繫的話,請一定要構建一種可信的通信渠道,這樣做有兩個好處:首先,這樣可以從某種程度上降低數據泄露發生的可能性;其次,當數據泄露發生的時候,你可以迅速知道數據的泄漏源。


簡訊跟身份認證之間的那些事兒


目前,很多在線服務以及應用程序都允許用戶通過簡訊來重置賬戶密碼。如果攻擊者知道了驗證簡訊的內容,那你就危險了。

目前有多種方法可以幫助攻擊者獲取到目標用戶的驗證簡訊,而絕大多數方法都涉及到對通信運營商進行社會工程學技術。攻擊者可以將電話號碼轉移到其他運營商,並攔截目標簡訊。或者說,他們可以註冊同一運營商旗下的SIM卡,然後實現簡訊攔截。而他們的這些攻擊技術同樣適用於基於Web的簡訊。


為了徹底解決這種安全問題,我們應該想辦法用其他類型的認證方式來替換掉基於手機簡訊的驗證方式。除此之外,在企業和組織的日常安全培訓中,我們也應該培養員工對這方面的安全意識。


有時我們唯一的敵人就是我們自己開發的代碼

其實,有很多安全事件都是企業或組織自身問題所導致的。這些事件可能是程序的代碼或者基礎設施的配置不當所導致的,因此這裡並不涉及到外部人員的惡意攻擊。這類事件並沒有什麼神秘可言,而一切都可以通過相當具體的調查任務來發現漏洞的成因。

在事件調查的過程中,通常需要法律顧問,通信團隊,甚至是某些特殊用戶的參與。除此之外,安全應急團隊還需要重新審查自己的開發細則以及合同條款,並弄清楚開發團隊在開發過程中有哪些未盡的「職責」,並調查所有未授權的訪問嘗試。與此同時,安全工程師將需要進行各種單元測試,並避免將來出現類似的安全問題。


每一個企業和組織都應該根據自己的情況來設計出合適的安全應急響應方案以及取證分析方案,否則歷史很可能會重演。需要注意的是,如果不對自己的基礎設施(例如代碼和伺服器等等)進行定期技術檢測的話,你很可能會因為其中潛在的安全問題而陷入困境。


總結


今年的情況其實跟去年沒多大區別,但這件事情本身就應該是一次「教訓」。既然去年已經出現過類似的情況或者發生了類似的事情了,那為什麼今年還會「歷史重演」呢?因此,我們應該將注意力放在更加有效的風險管理方案身上。

如果我們更願意和大家分享手中的信息和資源,我們將能夠構建出更多的威脅模型,並將它們應用到各類場景之中。

我之所以寫這篇文章,主要是因為我發現整個行業在處理安全風險的路上有些偏離方向了,因此我在2018年即將到來的時候,在這裡跟大家探討一下未來的應對策略。

* 參考來源:medium,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

年度盤點 | 2017年最嚴重的七大數據泄露事件
快訊 | Github上出現PS4 4.05固件的內核利用,越獄指日可待
AI安全初探:利用深度學習檢測DNS隱蔽通道
準備好紙和筆,人肉計算比特幣:每天0.67哈希值
如何使用Burp和Magisk在Android 7.0監測HTTPS流量

TAG:FreeBuf |