压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　根據(jù)開放安全基金會表示，迄今為止最嚴重的10起安全泄露事故中，3起事故發(fā)生在今年。這包括NYC Taxi & Limousine Commission的 1.73億條記錄泄露事故，易趣的1.45億條記錄泄露事故以及韓國信用局的1.04億條記錄泄露事故。而這還沒有算上據(jù)稱俄羅斯黑客竊取的12億用戶名和密碼，或者最近從韓國游戲網(wǎng)站發(fā)現(xiàn)被盜的2.2億條記錄。

　　根據(jù)開放安全基金會和Risk Based Security公司表示，2014年正在取代2013年成為泄露數(shù)據(jù)量最高的一年。

　　如果我們能夠從錯誤中吸取教訓，那么今年應該會成為安全教育標志性的一年。

　　下面是一些經(jīng)驗教訓：

　　1. 是時候認真考慮人員配備問題

　　在信息安全最大的安全漏洞可能根本不是技術(shù)方面的問題。

　　“在2014年，大約40%的安全職位為空置，”惠普企業(yè)安全產(chǎn)品首席技術(shù)官Jacob West表示，“并且，當你看看高級安全職位，空置率達到近49%。無論我們使用什么樣的技術(shù)，無論我們?nèi)绾闻ΡＷo系統(tǒng)，如果我們的隊伍人手不夠，我們將會看到我們的對手取得成功。”

　　West引用的數(shù)據(jù)來自于今年春天由惠普贊助Ponemon研究所發(fā)布的研究報告，其中顯示，70%的受訪者表示其安全部門人員不足。主要的原因是什么？根據(jù)43%的受訪者表示，原因在于企業(yè)未提供有競爭力的薪酬。

　　根據(jù)5月份由IBM贊助的另一個Ponemon研究顯示，數(shù)據(jù)泄露事故的平均總成本上升了15%，達到350萬美元，而包含敏感信息和機密信息的每條丟失或被盜記錄的平均成本增長超過9%，從2013年的136美元增長到今年的145美元。對此，企業(yè)可能要重新考慮其安全人員預算了。

　　2.了解你的代碼

　　在過去10年中，很多企業(yè)都采用了軟件安全最佳做法，在基礎(chǔ)層面構(gòu)建安全性。

　　.然而，這僅僅是對于他們自己編寫的代碼。

　　“今年暴露出的問題之一是，企業(yè)并沒有自己編寫大部分軟件，Shellshock和Heartbleed等漏洞更是說明了這一點，”惠普的West表示，“軟件其實是拼裝的，而不是編寫的。我們拿來商業(yè)組件和開源組件，然后在上面構(gòu)建一些專有性。”

　　這樣做的結(jié)果是，有些企業(yè)花了幾個星期，甚至幾個月，試圖整理其系統(tǒng)，以及弄清楚他們在哪里使用了易受攻擊版本的SSL。

　　企業(yè)需要先徹底了解他們正在使用什么應用程序，他們在哪里以及如何使用這些程序，以及其相對重要性。自動掃描系統(tǒng)在這方面可能有所幫助，但最終，這還是需要人的努力。

　　3.滲透測試是謊言

　　滲透測試是安全審計的組成部分。事實上，支付卡行業(yè)數(shù)據(jù)安全標準中有這一要求。

　　滲透測試公司Rook Security首席執(zhí)行官J.J.Thompson表示：“遭受過數(shù)據(jù)泄露事故的每個公司都有滲透測試報告稱攻擊者無法獲取數(shù)據(jù)，或者，如果他們可以得到，但并不重要的數(shù)據(jù)。”

　　那么，為什么滲透測試不能暴露潛在安全漏洞，讓公司能夠解決這些問題呢？

　　“這很簡單，”Thompson表示，“滲透測試報告一般都是謊言。”

　　或者換句話說，與真正的攻擊者相比，滲透測試人員能做的和不能做的更加有限制。

　　“你無法冒充別人，因為這并不是我們的測試方式，”Thompson表示，“你無法建立一個與Facebook個人資料相關(guān)的釣魚網(wǎng)站，因為這太離譜。”

　　真正的攻擊者因為入侵一家公司，已經(jīng)觸犯了法律，他們可能并不擔心觸犯其他法律。而白帽安全公司則不太愿意通過跟蹤其客戶或供應商系統(tǒng)而入侵一家公司?；蛘呙俺湔賳T，或損壞設(shè)備，或劫持企業(yè)員工的朋友或家庭成員的社交媒體賬號來入侵公司。

　　4.物理安全遇見網(wǎng)絡安全

　　最近攻擊團伙瞄準了美國東海岸的一家公司(+微信關(guān)注網(wǎng)絡世界)，他們繞過防火墻，提取其領(lǐng)導層的數(shù)據(jù)，并獲取即將舉行的活動的信息，以及這些活動將要使用的設(shè)施。

　　John Cohen表示：“當局認為，這是該組織前期規(guī)劃工作的一部分。”他此前是美國國土安全局的反恐協(xié)調(diào)員兼情報和分析代理副秘書，現(xiàn)在是安全供應商Encryptics公司首席戰(zhàn)略顧問。

　　Cohen稱：“這里同時涉及了物理安全和網(wǎng)絡安全。”

　　這也可以反過來進行，通過攻擊設(shè)備物理地入侵來進行數(shù)字盜竊

　　企業(yè)安全必須更加全面。闖入辦公現(xiàn)場的盜賊可能一直在尋找易于突破的電子設(shè)備，或者他們可以部署鍵盤記錄器。

　　5. 做好失敗計劃，第一部分

　　如果你肯定地知道攻擊者將要入侵你的系統(tǒng)，你的做法會有什么不同？

　　在今年的高曝光率數(shù)據(jù)泄露事故后，很多人都在問自己這個問題，并開始以不同的角度思考安全問題。

　　“在我看來，以及其他人看來，這是心態(tài)的轉(zhuǎn)變，”CompTIA的IT安全社區(qū)主席兼Reflexion Networks公司產(chǎn)品管理副總裁Scott Barlow，“企業(yè)都假設(shè)他們的數(shù)據(jù)將被泄露，或者已經(jīng)被泄露，并且他們正在采取措施。”

　　這些步驟包括對員工桌面的數(shù)據(jù)、文件服務器內(nèi)的數(shù)據(jù)甚至電子郵件進行加密。

　　同時，名為“標記化”的程序取代了包含隨機生成代碼或令牌的銀行卡數(shù)字，在這些數(shù)字離開POS機之前。只有付款處理器知道真正的數(shù)字，零售商獲得令牌，而這對于入侵系統(tǒng)的攻擊者毫無價值。

　　而這讓支付處理器成為目標，但事實上，它們一直都是攻擊目標。

　　FirstDat公司網(wǎng)絡安全解決方案總經(jīng)理兼高級副總裁Paul Kleinschnitz表示：“攻擊者已經(jīng)瞄上我們。”該公司負責美國40%的支付處理。

　　與此同時，Target和Home Depots將不會再面臨失去支付數(shù)據(jù)的風險。

　　Kleinschnitz表示：“我們正在幫助商家減小這種風險。”

　　6. 做好失敗計劃，第二部分

　　如果摩根大通能夠被攻擊，那么，每個公司都容易受到攻擊。

　　Weisbrod Matteis & Copley 律師事務所計算機犯罪專業(yè)律師Peter Toren表示：“即使你部署了最好的安全措施，你仍然可能被攻擊。”Toren曾在司法部計算機犯罪部門擔任了8年的聯(lián)邦檢察官。

　　企業(yè)如何應對這種數(shù)據(jù)泄露事故可以帶來很大的不同。

　　在去年年底，Target公司遭受重大數(shù)據(jù)[注]泄露事故，導致4000萬支付卡賬戶泄露，因為在處理這個事故時所面臨的問題，該公司的首席執(zhí)行官和首席技術(shù)官都失去了他們的工作。

　　企業(yè)需要提前做好應對泄露事故的準備工作，并早在泄露事故發(fā)生之前做好準備工作。

　　“他們需要有一個計劃，并提前與公關(guān)公司進行合作，”他表示，“而不是在事故后才聯(lián)系公關(guān)公司。”