解析數(shù)據(jù)泄漏審計(jì)

2014-11-08 21:57:47 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

當(dāng)這家位于美國(guó)波士頓的中型制藥公司的IT主管第一次被要求進(jìn)行數(shù)據(jù)泄漏審計(jì)時(shí)，他非常激動(dòng)，他認(rèn)為審計(jì)將會(huì)暴露公司數(shù)據(jù)泄漏防御系統(tǒng)中的一些問(wèn)題，然后他就能利用這些審計(jì)結(jié)果爭(zhēng)取更多的資金部署更好的安全措施

　　“數(shù)據(jù)泄漏一直不是大家關(guān)注的重點(diǎn)，除非發(fā)生重大的泄漏事故，IT人員最大的希望是能夠引起公司領(lǐng)導(dǎo)對(duì)數(shù)據(jù)脆弱性的關(guān)注，然后能夠投入更多資金，”這名IT主管表示。

　　但是結(jié)果比他預(yù)想得更加嚴(yán)重，為期15天的審計(jì)查出了11000起潛在的泄漏事故以及IT團(tuán)隊(duì)的安全部署方面的嚴(yán)重問(wèn)題。

　　由安全咨詢公司Networks Unlimited公司進(jìn)行的這次審計(jì)主要檢查了公司的出站電子郵件、FTP和web通訊，審計(jì)的目標(biāo)主要是一般財(cái)務(wù)信息、公司計(jì)劃和戰(zhàn)略、員工和其他個(gè)人身份信息、知識(shí)產(chǎn)權(quán)和專利權(quán)等方面的泄漏情況。

　　Networks Unlimited公司在企業(yè)局域網(wǎng)和防火墻間放置了一個(gè)接頭（tap），在外部電子郵件網(wǎng)關(guān)和防火墻間放置了第二個(gè)接頭。Networks Unlimited公司在兩個(gè)服務(wù)器上使用了WebSense軟件來(lái)監(jiān)測(cè)未加密的通信流量，然后對(duì)比公司的正常來(lái)分析這些流量。具體的說(shuō)，Networks Unlimited公司主要是要找出與該制藥公司的內(nèi)部保密政策、公司信息安全政策、HIPAA法案、SOX法案等相違背的地方。

　　Networks Unlimited公司的高級(jí)工程師Jason Spinosa表示，當(dāng)他為這次審計(jì)選擇標(biāo)準(zhǔn)時(shí)，他通常會(huì)建議公司根據(jù)公司的安全風(fēng)險(xiǎn)來(lái)確定政策設(shè)置。

　　當(dāng)Spinosa發(fā)現(xiàn)有超過(guò)700多個(gè)關(guān)于關(guān)鍵信息（社會(huì)安全號(hào)、定價(jià)、財(cái)務(wù)信息和其他違背PCI標(biāo)準(zhǔn)的關(guān)鍵數(shù)據(jù)）的數(shù)據(jù)泄漏，他還發(fā)現(xiàn)超過(guò)4000多處與HIPAA法案以及國(guó)防部信息保障認(rèn)證規(guī)則相違背的嚴(yán)重問(wèn)題。

　　雖然該公司從技術(shù)上來(lái)看不完全屬于HIPAA法案管制的范圍，因?yàn)橹饕怯傻谌教幚硭械膫€(gè)人身份信息，IT主管表示他們希望最終能夠?qū)崿F(xiàn)自己公司來(lái)管理那些信息。此外，Spinosa表示，哪些不屬于HIPAA范圍的公司應(yīng)該根據(jù)HIPAA的基本準(zhǔn)則來(lái)審計(jì)，因?yàn)榇嬖跐撛诘拿舾袛?shù)據(jù)泄漏。

　　難以置信的是，這次審計(jì)發(fā)現(xiàn)了超過(guò)1000起未加密的密碼傳輸，例如訪問(wèn)個(gè)人帳戶、web電子郵件帳戶的密碼等。Spinosa表示這個(gè)結(jié)果很嚴(yán)重，因?yàn)楹芏鄦T工喜歡在多個(gè)系統(tǒng)使用相同的密碼，“這會(huì)使內(nèi)部應(yīng)用程序變得非常不安全。”

　　以下是這次審計(jì)中發(fā)現(xiàn)的最嚴(yán)重的泄漏威脅：

　　No. 1：機(jī)密的zip文件

　　員工發(fā)送的未加密電子郵件中包含明確標(biāo)記為“機(jī)密”的zip附件，盡管該電子郵件的收件人簽署了保密協(xié)議，但是所有類似信件都應(yīng)該被加密。

　　最壞的情況：這封電子郵件可能會(huì)被第三方截獲并獲取，這也潛在地違背HIPAA法案，因?yàn)槊鞔_表明了附件內(nèi)容的性質(zhì)。

　　No. 2：機(jī)密附件

　　員工向外部供應(yīng)商發(fā)送包含有標(biāo)記為“機(jī)密”附件的電子郵件，該郵件中討論了病人參與臨床實(shí)驗(yàn)的權(quán)利和補(bǔ)償問(wèn)題。

　　最壞的情況：該郵件保護(hù)關(guān)于未完成的機(jī)密文件和可能損害該公司聲譽(yù)的信息。

　　No. 3：臨床研究

　　員工將包含有基本完成的臨床研究報(bào)告附件的未加密信息發(fā)送給外部供應(yīng)商。

　　最壞的情況：這些臨床研究結(jié)果可能會(huì)被第三方截獲并提早曝光。

　　No. 4：重要電子表格

　　員工將重要的員工補(bǔ)償數(shù)據(jù)發(fā)送給外部調(diào)查公司，所附的表格可能包括工資、獎(jiǎng)金、銷售配額、股票期權(quán)、授權(quán)股票價(jià)格等重要信息。

　　最壞的情況：這直接違反了美國(guó)的隱私法，并且這些信息的包括將會(huì)影響公司競(jìng)爭(zhēng)力和公共形象。

　　“對(duì)于我們而言，最重要的事情就是保護(hù)我們的知識(shí)產(chǎn)權(quán)，包括專利等。這些信息的泄漏不僅會(huì)導(dǎo)致罰款。也會(huì)對(duì)公司聲譽(yù)造成極差的影響，因此我們必須保護(hù)自己的信息。”該制藥公司的IT主管表示。

　　“我們以為我們的安全狀態(tài)很好，我們已經(jīng)為隱私法進(jìn)行了內(nèi)部和外部審計(jì)的準(zhǔn)確，并且進(jìn)行了廣泛的滲透測(cè)試，另外，公司還部署了入侵檢測(cè)和防御以及筆記本加密等措施，還進(jìn)行了員工培訓(xùn)，但是審計(jì)結(jié)果表明，做了這么多也還是不夠的。”IT主管表示。

　　如何應(yīng)對(duì)

　　Spinosa建議該制藥公司的安全團(tuán)隊(duì)采取雙管齊下的方法并重新審視企業(yè)業(yè)務(wù)流程和技術(shù)強(qiáng)化，“現(xiàn)在，他們處理機(jī)密信息的方式會(huì)讓他們承擔(dān)違法法律、法規(guī)和商業(yè)合作伙伴關(guān)系等方面的風(fēng)險(xiǎn)。”

　　他還補(bǔ)充說(shuō)，他發(fā)現(xiàn)的所有泄漏事故都是可以很容易預(yù)防的，他建議公司們不要依賴于用戶或者商業(yè)合作伙伴進(jìn)行正確安全的操作，相反的，公司應(yīng)該進(jìn)行自動(dòng)加密。例如，該公司應(yīng)該擴(kuò)大對(duì)傳輸層安全的使用來(lái)保證與其他業(yè)務(wù)伙伴的敏感信息的傳輸，他們已經(jīng)開(kāi)始使用該安全層來(lái)保護(hù)其與FDA的通訊。

　　此外，該公司還應(yīng)該部署安全的電子郵件產(chǎn)品，能夠自動(dòng)檢測(cè)和加密保護(hù)機(jī)密信息（如專利和臨床實(shí)驗(yàn)結(jié)果等）的郵件，Spinosa表示，這些產(chǎn)品還會(huì)提醒發(fā)件人（包括業(yè)務(wù)伙伴）誰(shuí)在試圖發(fā)送未加密的機(jī)密信息。

　　最重要的是，企業(yè)應(yīng)該對(duì)其網(wǎng)絡(luò)進(jìn)行定期審計(jì)以確保所有的政策都被落實(shí)。

　　Spinosa還建議對(duì)用戶和業(yè)務(wù)伙伴進(jìn)行培訓(xùn)，應(yīng)該對(duì)用戶經(jīng)常進(jìn)行關(guān)于重要數(shù)據(jù)泄漏的影響的培訓(xùn)，還應(yīng)該向他們解釋哪些類型的信息屬于機(jī)密信息。

　　最后，公司應(yīng)該只與哪些了解如何安全交換信息的公司進(jìn)行業(yè)務(wù)往來(lái)。

　　該制藥公司的CIO表示他們接受這些建議，并表示他們已經(jīng)部署了大量加密措施，但是由于沒(méi)有得到高級(jí)管理人員（COO、CFO和首席醫(yī)療官）的支持，這些還只是紙上談兵。

　　因此，他的第一項(xiàng)任務(wù)就是向高層管理人員們深入講述審計(jì)發(fā)現(xiàn)的問(wèn)題以及消除潛在問(wèn)題的解決方案，只有讓高層們了解風(fēng)險(xiǎn)的所在，事情將簡(jiǎn)單得多。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

數(shù)據(jù)