綠盟科技發布《2014年H1企業數據泄露報告》
責編:admin |2014-10-30 14:19:472014年是企業數據泄露的大災之年,無論是數據泄露的規模還是頻率都創下新高。近日綠盟科技發布了《2014 H1反數據泄露報告》(點擊文章尾部鏈接下載報告原文)對國內外數據泄露的數據和案例進行了分析,總結數據泄露事件的經驗教訓,并為企業指出了防止數據泄露的方法。以下為綠盟科技報告中的一些亮點:
首先,數據泄露事件層出不窮,簡略看一下近期數據泄露事件,UPS(8.20)、WSJ(7.22)、CNET(7.14)、Cupid(6.25)……需要注意的是,在媒體上出現的數據泄露事件其實只是很小的一部分。根據綠盟科技威脅響應中心監測到的數據泄露數據,在2014年上半年共記錄數據泄露事件485起,平均每天數據泄露事件超過2起。
從全球范圍看,近年各行業數據泄露事件呈上升趨勢。金融行業占據的比例較小,一方面的原因是由于金融行業是網絡犯罪分子的明顯目標之一,與其它行業相比,金融行業在網絡安全方面給予更多的關注,并且在安全信息共享方面建立了交流渠道,例如:FS-ISAC以及監管方面有來自類似FFIEC機構的規范與指導,與此相對應的是企業(例如:科技公司、零售業),最近4年的重大數據泄露事件均屬于該類別,例如:Adobe(2013年), Sony(2011年)以及Target(2013年),上圖從一定程度上反映了各行業面對數據泄露的嚴峻程度。
在Target事件中其1797家門店受到波及。連鎖店經營方式經常為了統一部署簡化 IT 運維而使用類似/一致的系統,其優點在于標準化、規模化與低成本、高效率有著近似直接的換算關系;但從另一角度看:由于部署相同終端系統,從而可能導致同一漏洞暴露于攻擊者的準星下。無疑,Target在安全防護方面曾給予不少投入。2013年5月投資購買FireEye的惡意軟件檢測工具;2013年9月通過PCI DSS(Payment Card Industry Data Security Standard)認證。目前這種安全管理思路較為常見:企業/組織寄希望于通過單純購置安全防御設備方式提高安全防護水平,但忽視周期性安全服務檢查等方面。
Target數據泄露事件發生后,Target發言人稱“Target was among the best-in-class within the retail industry”,與此形成反襯的是,對于攻擊者技術水平,安全業界人士認為“this class of attack is far from advanced”。誠然,Target事件暴露出其若干安全問題,它也理所應當應為自己的管理和疏忽擔負責任,因為先進的工具與行業的標準畢竟需要人去使用與執行,但是Target最大問題可能在于它對當前網絡安全現狀缺乏足夠vision(前瞻性),例如:Target SOC (Security Operations Center)團隊的主要職責仍是對超市賣場區域的安全監控,而不是防范網絡攻擊(Target在班加羅爾的安全團隊監測到異常狀況后已通知Target SOC,但未引起后者重視)。面對日趨嚴峻的網絡安全現狀,難道Target真的是不了解“今是何世,乃不知有”pwned嗎?
毋庸置疑,Target數據泄露事件也反映了目前安全防護技術需要進一步提升,例如Target同時部署了FireEye 惡意軟件檢測工具與Symantec 終端防護產品,前者使用MVX(Multi-Vector Virtual Execution, 一種VM-based的signature-free檢測方法)檢測惡意軟件,雖具有自動刪除惡意軟件功能,但因其存在誤報,所以Target SOC團隊手動關閉了該項功能;后者使用signature-based檢測技術,只能檢測出45%的惡意軟件,因此Symantec高級副總裁Brian Dye在2014年5月稱“(Traditional) antivirus is dead” 。簡言之,這兩個安全產品一個使用signature-free檢測方法,一個使用signature-based的檢測技術,但存在著誤報(FP,False Positive)等問題,誤報對用戶的影響就像一遍遍的喊叫“狼來了,狼來了……”,結果狼沒來,卻使得用戶對安全告警信息逐漸麻痹,等到狼真正來時只能嗟悔無及。
雖然現有安全產品存在不足,但從誤報問題看如果將各安全產品告警與本地其它日志等信息之間自動關聯起來并給予告警相應威脅等級,即通過信息關聯監測用戶網絡的安全狀況,從而可以提高安全告警的準確性。Verizon DBIR(Data Breach Investigations Report)報告曾指出84%數據泄露事件可以在遭受數據泄露企業/組織的日志中發現蛛絲馬跡。當然,這種方法實現起來并不就是plain sailing,例如關聯日志事件的時間開銷等問題。目前,網絡安全研究課題除了關注在攻擊時綜合多種信息源發現攻擊者等方向外,還有關注于通過收集多種信息對攻擊提前預警(而不是攻擊時的告警)的研究,例如: BlackForest。總之,面對今日之網絡攻防現狀,目前的安全防護技術需要有動力去“Change!”