解析數(shù)據(jù)泄漏審計

2014-11-08 21:57:47 大云網(wǎng)　點擊量：評論 (0)

當這家位于美國波士頓的中型制藥公司的IT主管第一次被要求進行數(shù)據(jù)泄漏審計時，他非常激動，他認為審計將會暴露公司數(shù)據(jù)泄漏防御系統(tǒng)中的一些問題，然后他就能利用這些審計結(jié)果爭取更多的資金部署更好的安全措施

當這家位于美國波士頓的中型制藥公司的IT主管第一次被要求進行數(shù)據(jù)泄漏審計時，他非常激動，他認為審計將會暴露公司數(shù)據(jù)泄漏防御系統(tǒng)中的一些問題，然后他就能利用這些審計結(jié)果爭取更多的資金部署更好的安全措施。

　　“數(shù)據(jù)泄漏一直不是大家關(guān)注的重點，除非發(fā)生重大的泄漏事故，IT人員最大的希望是能夠引起公司領(lǐng)導對數(shù)據(jù)脆弱性的關(guān)注，然后能夠投入更多資金，”這名IT主管表示。

　　但是結(jié)果比他預想得更加嚴重，為期15天的審計查出了11000起潛在的泄漏事故以及IT團隊的安全部署方面的嚴重問題。

　　由安全咨詢公司Networks Unlimited公司進行的這次審計主要檢查了公司的出站電子郵件、FTP和web通訊，審計的目標主要是一般財務信息、公司計劃和戰(zhàn)略、員工和其他個人身份信息、知識產(chǎn)權(quán)和專利權(quán)等方面的泄漏情況。

　　Networks Unlimited公司在企業(yè)局域網(wǎng)和防火墻間放置了一個接頭（tap），在外部電子郵件網(wǎng)關(guān)和防火墻間放置了第二個接頭。Networks Unlimited公司在兩個服務器上使用了WebSense軟件來監(jiān)測未加密的通信流量，然后對比公司的正常來分析這些流量。具體的說，Networks Unlimited公司主要是要找出與該制藥公司的內(nèi)部保密政策、公司信息安全政策、HIPAA法案、SOX法案等相違背的地方。

　　Networks Unlimited公司的高級工程師Jason Spinosa表示，當他為這次審計選擇標準時，他通常會建議公司根據(jù)公司的安全風險來確定政策設(shè)置。

　　當Spinosa發(fā)現(xiàn)有超過700多個關(guān)于關(guān)鍵信息（社會安全號、定價、財務信息和其他違背PCI標準的關(guān)鍵數(shù)據(jù)）的數(shù)據(jù)泄漏，他還發(fā)現(xiàn)超過4000多處與HIPAA法案以及國防部信息保障認證規(guī)則相違背的嚴重問題。

　　雖然該公司從技術(shù)上來看不完全屬于HIPAA法案管制的范圍，因為主要是由第三方處理所有的個人身份信息，IT主管表示他們希望最終能夠?qū)崿F(xiàn)自己公司來管理那些信息。此外，Spinosa表示，哪些不屬于HIPAA范圍的公司應該根據(jù)HIPAA的基本準則來審計，因為存在潛在的敏感數(shù)據(jù)泄漏。

　　難以置信的是，這次審計發(fā)現(xiàn)了超過1000起未加密的密碼傳輸，例如訪問個人帳戶、web電子郵件帳戶的密碼等。Spinosa表示這個結(jié)果很嚴重，因為很多員工喜歡在多個系統(tǒng)使用相同的密碼，“這會使內(nèi)部應用程序變得非常不安全。”

　　以下是這次審計中發(fā)現(xiàn)的最嚴重的泄漏威脅：

　　No. 1：機密的zip文件

　　員工發(fā)送的未加密電子郵件中包含明確標記為“機密”的zip附件，盡管該電子郵件的收件人簽署了保密協(xié)議，但是所有類似信件都應該被加密。

　　最壞的情況：這封電子郵件可能會被第三方截獲并獲取，這也潛在地違背HIPAA法案，因為明確表明了附件內(nèi)容的性質(zhì)。

　　No. 2：機密附件

　　員工向外部供應商發(fā)送包含有標記為“機密”附件的電子郵件，該郵件中討論了病人參與臨床實驗的權(quán)利和補償問題。

　　最壞的情況：該郵件保護關(guān)于未完成的機密文件和可能損害該公司聲譽的信息。

　　No. 3：臨床研究

　　員工將包含有基本完成的臨床研究報告附件的未加密信息發(fā)送給外部供應商。

　　最壞的情況：這些臨床研究結(jié)果可能會被第三方截獲并提早曝光。

　　No. 4：重要電子表格

　　員工將重要的員工補償數(shù)據(jù)發(fā)送給外部調(diào)查公司，所附的表格可能包括工資、獎金、銷售配額、股票期權(quán)、授權(quán)股票價格等重要信息。

　　最壞的情況：這直接違反了美國的隱私法，并且這些信息的包括將會影響公司競爭力和公共形象。

　　“對于我們而言，最重要的事情就是保護我們的知識產(chǎn)權(quán)，包括專利等。這些信息的泄漏不僅會導致罰款。也會對公司聲譽造成極差的影響，因此我們必須保護自己的信息。”該制藥公司的IT主管表示。

　　“我們以為我們的安全狀態(tài)很好，我們已經(jīng)為隱私法進行了內(nèi)部和外部審計的準確，并且進行了廣泛的滲透測試，另外，公司還部署了入侵檢測和防御以及筆記本加密等措施，還進行了員工培訓，但是審計結(jié)果表明，做了這么多也還是不夠的。”IT主管表示。

　　如何應對

　　Spinosa建議該制藥公司的安全團隊采取雙管齊下的方法并重新審視企業(yè)業(yè)務流程和技術(shù)強化，“現(xiàn)在，他們處理機密信息的方式會讓他們承擔違法法律、法規(guī)和商業(yè)合作伙伴關(guān)系等方面的風險。”

　　他還補充說，他發(fā)現(xiàn)的所有泄漏事故都是可以很容易預防的，他建議公司們不要依賴于用戶或者商業(yè)合作伙伴進行正確安全的操作，相反的，公司應該進行自動加密。例如，該公司應該擴大對傳輸層安全的使用來保證與其他業(yè)務伙伴的敏感信息的傳輸，他們已經(jīng)開始使用該安全層來保護其與FDA的通訊。

　　此外，該公司還應該部署安全的電子郵件產(chǎn)品，能夠自動檢測和加密保護機密信息（如專利和臨床實驗結(jié)果等）的郵件，Spinosa表示，這些產(chǎn)品還會提醒發(fā)件人（包括業(yè)務伙伴）誰在試圖發(fā)送未加密的機密信息。

　　最重要的是，企業(yè)應該對其網(wǎng)絡進行定期審計以確保所有的政策都被落實。

　　Spinosa還建議對用戶和業(yè)務伙伴進行培訓，應該對用戶經(jīng)常進行關(guān)于重要數(shù)據(jù)泄漏的影響的培訓，還應該向他們解釋哪些類型的信息屬于機密信息。

　　最后，公司應該只與哪些了解如何安全交換信息的公司進行業(yè)務往來。

　　該制藥公司的CIO表示他們接受這些建議，并表示他們已經(jīng)部署了大量加密措施，但是由于沒有得到高級管理人員（COO、CFO和首席醫(yī)療官）的支持，這些還只是紙上談兵。

　　因此，他的第一項任務就是向高層管理人員們深入講述審計發(fā)現(xiàn)的問題以及消除潛在問題的解決方案，只有讓高層們了解風險的所在，事情將簡單得多。