今年,我尽自己所能协助各大企业和组织处理了很多安全事件。就我个人的经验来看,我所观察到的东西跟2016年的情况几乎没有什么区别。其中,以下两个因素会对安全事件产生重要影响:
1、过度暴露高风险机密-这种因素是导致严重安全事件发生的主要原因,很多影响严重的事件都具备这种特征。
2、受害用户的可用日志-它既是帮助组织从攻击事件中快速恢复的良药,也是导致用户重要凭证信息被盗的“罪魁祸首”。
而在这篇文章中,我将给大家提供一些新的观点,并跟大家一起从2017年所发生的数据泄露事件中吸取经验和教训。
优秀的安全团队需要知道自己的“战场”在哪里
对于“跨多个公司间安全团队协同合作”这个概念而言,今年绝对是一个重大突破和胜利。其中,最典型的案例就是OneLogin以及Cloudbleed的数据泄露事件。
拥有优秀网络安全团队的公司数量正在迅速增加,而且他们也逐渐能够理解和区分各自客户代表给他们反馈回来的各种不同的安全信息了。
虽然很多公司在遇到数据泄露等安全事件时,没有办法去适当的处理。但很多公司会选择进入“响应模式”,然后跟其他团队分享事件信息,并讨论如何缓解安全事件所带来的影响(包括告诉客户如何采取相应措施来保护自己)。因此,更加紧密的信息共享让这些团队能够更加快速、有效和自信地处理安全事件了。
应对方案
“出去走走,多交些朋友。”你可以多去各种社区逛逛,多跟竞争对手的安全团队交流,分享各类安全事件的处理过程,努力成为社区中一名优秀的成员。
记者跟公司雇员之间的直接联系越来越多
在我看来,各种告密以及内幕泄露也成为了今年的一种趋势。今年很多公司都发现,越来越多的记者开始通过社交媒体平台或者加密聊天应用来跟企业雇员进行频繁的联系,而这些记者往往会直接跟他们询问一些非常“敏感”的信息,尤其是一些涉及到企业业务计划和新产品的相关内容。
这种情况跟我在前几年见到的有些不同,因为企业员工跟外部的这种“接触”变得越来越频繁,而且针对员工的垃圾邮件也越来越多,这将会大大增加员工泄露重要机密数据的可能性。
应对方案
企业和组织应该尽可能地限制这类“交流”的发生,并要求员工按照“无可奉告”政策来行事。如果不得已需要跟记者或媒体联系的话,请一定要构建一种可信的通信渠道,这样做有两个好处:首先,这样可以从某种程度上降低数据泄露发生的可能性;其次,当数据泄露发生的时候,你可以迅速知道数据的泄漏源。
短信跟身份认证之间的那些事儿
目前,很多在线服务以及应用程序都允许用户通过短信来重置账户密码。如果攻击者知道了验证短信的内容,那你就危险了。
目前有多种方法可以帮助攻击者获取到目标用户的验证短信,而绝大多数方法都涉及到对通信运营商进行社会工程学技术。攻击者可以将电话号码转移到其他运营商,并拦截目标短信。或者说,他们可以注册同一运营商旗下的SIM卡,然后实现短信拦截。而他们的这些攻击技术同样适用于基于Web的短信。
应对方案
为了彻底解决这种安全问题,我们应该想办法用其他类型的认证方式来替换掉基于手机短信的验证方式。除此之外,在企业和组织的日常安全培训中,我们也应该培养员工对这方面的安全意识。
有时我们唯一的敌人就是我们自己开发的代码
其实,有很多安全事件都是企业或组织自身问题所导致的。这些事件可能是程序的代码或者基础设施的配置不当所导致的,因此这里并不涉及到外部人员的恶意攻击。这类事件并没有什么神秘可言,而一切都可以通过相当具体的调查任务来发现漏洞的成因。
在事件调查的过程中,通常需要法律顾问,通信团队,甚至是某些特殊用户的参与。除此之外,安全应急团队还需要重新审查自己的开发细则以及合同条款,并弄清楚开发团队在开发过程中有哪些未尽的“职责”,并调查所有未授权的访问尝试。与此同时,安全工程师将需要进行各种单元测试,并避免将来出现类似的安全问题。
应对方案
每一个企业和组织都应该根据自己的情况来设计出合适的安全应急响应方案以及取证分析方案,否则历史很可能会重演。需要注意的是,如果不对自己的基础设施(例如代码和服务器等等)进行定期技术检测的话,你很可能会因为其中潜在的安全问题而陷入困境。
总结
今年的情况其实跟去年没多大区别,但这件事情本身就应该是一次“教训”。既然去年已经出现过类似的情况或者发生了类似的事情了,那为什么今年还会“历史重演”呢?因此,我们应该将注意力放在更加有效的风险管理方案身上。
如果我们更愿意和大家分享手中的信息和资源,我们将能够构建出更多的威胁模型,并将它们应用到各类场景之中。
我之所以写这篇文章,主要是因为我发现整个行业在处理安全风险的路上有些偏离方向了,因此我在2018年即将到来的时候,在这里跟大家探讨一下未来的应对策略。