2007年,非法盗取数据的案件重新抬头,无疑吸引了世人的目光。
TJX公司在今年遭遇了史上最严重的数据流失案,在长达18个月的时间里,黑客渗透到公司的网络中,造成4570万用户的个人纪录泄露。
随后更多的大规模数据泄露事件被发现,如美国军事研究实验室遇到钓鱼欺诈,以及英国政府两块未加密的硬盘遗失。
专家认为这些仅仅是冰山一角。2005年1月以来,美国个人隐私权利组织已经确认,由于一场数据流失事件造成属于美国公民的2.15亿条记录被不法者利用。
这些数据流失案件对受影响的企业和组织造成了重大的损失。最近,独立研究机构Ponemon Institute的研究表明,每丢失或被盗一条客户记录造成的平均损失达到了197美元,较2006年增加8%,较2005年增加43%。现在,每次数据泄露事件对企业造成的平均损失高达630万美元,其中法律上和公共关系上的花费不断上升,客户的流失也在加剧。专家警告说,重新抬头的数据盗窃给企业造成的损失只会不断增加。
数据防护厂商PGP的产品运营经理John Dasher说,“你将会突然损失1000万条客户记录,然后付出沉重的代价。这一切将在瞬间发生,超出你的想象。”
现在业界仍然沉浸在巨大损失的震惊之中。应用软件安全与市场部副总裁Ted Julian称,“毫无疑问,所有的这些数据泄露事件促使人们重新思考自己在安全防护方面的投入。人人都在说‘让我们回过头看看,会发现我们的数据正处在四面围攻的危险境地。我们需要保护哪些重要数据?我们又拿什么来保护?’”
安全专家认为,这些事件的后果将促使企业自身发生显著的变化,在2008年我们将会看到企业会更加关注如何保护数据和挽回损失。随着安全意识的增强,以及对数据保密的强烈需求,众多企业将会大力发展安全技术,并在员工培训和完善制度上增加投入。
然而,企业对数据流失提高了重视,攻击者也在不断发展诡异多端的攻击手段。安全专家确认数据库将会首当其冲,暴风蠕虫也会继续发展。同时,一些大规模的数据流失事件源于企业内部,并且往往是无心之失。
Fortinet公司市场部总经理Richard Stiennon说,“数据保护这个问题之所以受到瞩目,一个重要原因就是很难百分之百的防止数据泄露。不管你想到什么方法去保护,总会有人想到破解之道。这是一场没有尽头的较量。”
聚光灯下的数据
专家预测,即使不断增加安全知识并采用越来越诡异的安全策略,也不能阻止08年更多的数据盗窃案件浮出水面,一个主要的原因就是更多的企业和组织在遭遇数据泄露时必须向公众说明真相。
Tumbleweed公司的技术副总裁John Thielens表示,目前相关法律的效果正在显现,数据被窃的问题将会充分暴露在世人面前。
迄今为止,美国已有35个州规定,当用户的机密或个人信息泄露、被盗或受到其他威胁时,相关企业和行政机构有义务通知受影响的用户,用户的范围包括消费者、员工、公民、学生和毕业生等。安全专家认为,在今后几年内美国全部50个州都会实施这条规定。
Reconnex公司产品市场部副总裁Faizel Lakhani强调,并非数据盗窃案的数目在上升,只是这些案件以后将必须公之于众。他认为,目前有许多数据泄露事件并没有向社会公布,因为当时并没有强制要求公布类似事件。
除了个人身份数据以外,专家预测组织机构也需要公开数字资产的被盗,这些资产是影响股价的重要因素。
CheckPoint公司数据安全产品市场部经理David Vergara说:“各种研究表明,客户不愿意同遭遇过数据被盗事件的公司有生意上的来往,所以一家公司如果不能控制和保护敏感的信息,它将承受无法挽回的损失。”
随着公司实行更多的安全规定和采用全面的安全技术,其他一些数据库漏洞也将在反复审查中暴露。Dasher说:“他们换了一套新办法,然后发现‘哦糟了!’,这些工具和规定以及流程都存在一些未被发现的安全漏洞,企图全面发现并纠正这些漏洞是非常困难的事。”
预测:数据库将成为攻击目标
信息金库
由于目前个人攻击仍然是主流,专家预测全球网络犯罪者将会从敏感个人信息的源头——数据库窃取数据,因为数据库确实是一个真正的数据金矿,里面有大量的信用卡资料、社会保险数据和其他个人身份信息。
因而,在2008年,对企业而言数据库的防护成为重中之重。专家认为,数据盗窃的风靡对大型企业提出了巨大的挑战,因为它们一般都拥有少则十几个,多则上百个数据库,而这些数据库对大多数安全人员而言还是一个未知的领域。
安全专家说,在2008年,无论是大型企业还是中小企业都会主动加大数据库安全上的投入,这些新技术的功能包括管理信息和减小脱离安全网络的数据量。
“否则你会让自己疲于奔命,因为你不得不保护每一条数据通路,”Julian说。
对社交网站和二流企业的攻击
专家预测,按2007年的趋势,类似MySpace和Facebook的社交网站将继续成为数据窃取的头号目标,因为它们越来越火爆,并且在工作电脑上使用频率也越来越高。黑客将使用暴风蠕虫和其他木马从轻信的用户那里获取私密信息和个人身份资料。
金融机构和其他大型企业也都是黑客的目标,安全研究人员发现,2008年将有更多的攻击针对中小型企业,因为大型企业已经调整了安全策略,能够有效地抵御现存的威胁。
Vergara说,“无论何时去市场,我们都能看到更多的公司涌现出来。事实上我们将会看到更多名不见经传的公司。”
专家表示,由于中小型企业没有受到媒体的高度关注,可能没有对黑客攻击作相应的准备,这些企业引起了黑客的浓厚兴趣。
Stiennon说,“很多媒体还没有认识到这个问题,这些企业将成为新闻的中心,因为它们面临的问题是非常棘手的。”
预测:信息将进行分级
数据分类
大多数企业经常有一些暂时不能利用的数据,为了控制信息的数量,企业将逐渐把资源分级保存,区分哪些信息是需要保护的,哪些仅仅是公司的负担。
Julian认为,人们应该格外关注一下减少拥有的数据量。如果一条数据完全不需要存在于系统中,那就删除它。这将成为另一个趋势。
因而专家预测,在2008年,企业将更有可能在安全风险估计和管理上投资。对企业而言,这意味着创建数据安全中心,开发一个按信息敏感度分级的系统,以确定哪些数据是潜在的黑客最想获得的。
安全专家预测,除了信用卡资料和社会保险号码之外,多数公司还会把知识产权信息和其他可能影响股价的信息列为敏感数据。
Lakhani说:“企业面临的最大问题是他们相信自己知道敏感数据是什么,谁应该看到,谁不应该看到。每个企业的敏感数据都是不同的,这些数据一旦落入居心叵测的人手中将会严重影响股价。”
DLP公司也将开发工具帮助企业了解最隐密的数据在哪里,什么信息正在泄露到企业外部,泄露到谁的手中。
存储管理厂商Aveksa市场部副总裁Brian Cleary表示,“不仅对数据如此,你应该对一切可能有风险的东西都进行分类管理。一旦你能控制它们在合适的位置,数据损失的可能性就会呈指数降低。”
出乎意料的同谋
虽然外部的威胁始终存在,但是研究显示目前对企业信息最大的威胁经常来自于简单的人为错误。最近,致力于提供安全方案的RSA实验室的一项调查发现,2008年最重大的一些数据泄露事故可能来自企业自身。企业中每天都有大量数据传递,数据泄露可能在员工执行动机良好但是实际危险的行为时发生,例如向个人电子邮箱发送工作文档,或者打开个人计算机发来的邮件。
RSA实验室产品管理与市场部副总裁Sam Curry说,“我们倾向于把信息风险或数据泄露看作矛与盾的较量,但是存在一种简单的情形,那就是无知造成的风险。这是很容易杜绝的,并且完全是人的问题。”
RSA实验室的研究显示,内部岗位的流动性对数据流失有着重大影响。72%的被调查者认为他们的公司或机构雇佣的临时工人和承包人需要接触敏感信息和系统。日益增加的外部采购和海外投资也为数据泄露大开方便之门。安全专家预测,今年会有更多的安全事件最终追踪到临时工人和承包工人身上。
另外,大约25%的被调查者说他们曾经无意中进入过实际不应该访问的网络,还有33%的被调查者说他们在内部调岗之后仍然可以用原来的帐户登陆。
因此,安全专家建议公司定期检查员工的流动情况,以了解每个岗位以前的使用者的职责和可以接触的信息类型。他们同时主张公司应该密切监控内部的职位调动,确保员工只拥有履行职责所必需的信息获取权限。
Cleary说:“员工不应该拥有超过完成工作必需的权限之外的权限,这是我们应该予以考虑的原则。企业内部员工权限与职位不相称是非常普遍的现象,具有代表性的是员工内部调动以后权限却没有作相应的调整。”
Cleary最后补充说:“每个人都会习惯性的认为威胁来自外部,但实际上往往只是人为的错误。”