维基解密事件回顾:CIA犯下的六大安全失误!

译文
CIOAge
世界上的一切计算机都不具备与之所容纳数据机密性相匹配的安全配置机制。

【51CTO.com快译】日前由维基解密曝光的CIA转储内容无疑是迄今为止发布的规模最大的秘密缓存资源。CIA对此无可奈何,情报界的努力也因此付之东流,而这一切本来是可以的。

遗憾的是,世界上的一切计算机都不具备与之所容纳数据机密性相匹配的安全配置机制。事实上,我们的计算机几乎是在邀请攻击者对其发动入侵——即使在CIA内部,情况也是如此。

虽然现在再谈补救也许为时过晚,但我们仍有必要从中吸取教训。

[[185535]]

黑客活动的历史性转折点源自索尼入侵事件。无论是在引发损失还是为此产生的影响方面,该次事件都高于此前曾经出现过的任何安全事故。

但在另一方面,随着数据分析能力愈发强大,安全解决方案的选择开始由直观选取转向量化分析。目前众多厂商都在提供云存储事件检测方案,密码机制开始得到逐步淘汰,而网络罪犯的发现与抓获率也要远高于以往。

这一次,保护一方开始在对抗中占据优势地位。作为从业者,我们每个人都有理由抓住这一宝贵机遇——特别是对于刚刚遭遇事故的CIA。

 

安全规则1

时至今日,我们有必要假定安全违规事件已然发生。“安全违规假设”意味着大家应认定自己的环境中已经存在有无法摆脱的高级持续威胁(简称APT)。在这种情况下,周边防御机制将起不到任何作用。如果要使用防火墙与入侵检测系统,这套机制必须存在于全部关键性主机的内部。另外,如果恶意人士全天候蹲守在网络之内,我们该如何进行事件记录并检测异常活动?哪些数据需要加密?如何检测APT?新的系统运行常态又该是什么样的?

 

安全规则2

此次维基解密曝光的CIA数据卷被称为“Vault 7”,其体量极为巨大,包含超过8000个文件,而根据阿桑奇的解释,这还仅是其中的一部分。如果CIA曾经对数据下载活动进行监控,应该能够检测到如此可观的数据外泄,特别是在存在新型下载模式的情况下。

数据下载监控工具绝非新鲜事物,事实上这类工具在十多年前就已经出现。早在12年前效力于一家大型酒店企业时,我们就曾发现某位高管人员曾在离职后下载了完整的客户数据库并计划用此向竞争对手邀功。另外,1987年的Novel NetWare ELS Level II网络就提供相关主屏幕,用于显示每位登录用户的数据下载历史。

 

规则3

作为美国历史上公认的保密信息泄露者,切尔西-曼宁曾将数据复制至一张伪造的麦当娜音乐CD上。为什么我们会允许保密信息的访问者使用可移动存储介质?事实上,大家需要控制一切保密数据访问人员的内容复制能力,无论是使用可移动介质还是互联网传输。几乎每家计算机安全厂商及大多数操作系统都允许大家实现这种禁用效果。

 

规则4

双因素验证机制无法解决一切安全缺陷,但确实能够对其中相当一部分予以消除。在使用双因素机制的情况下,员工不会因登录凭证外泄而立即造成损失,亦无法在其它外部网站中使用同样的密码。更重要的是,长而复杂的密码将被四到六位PIN码所取代,这会让员工的工作更加轻松。

 

规则5

所有管理员都必须在安全管理工作站(简称SAW)之上执行管理任务。在这台锁定计算机中只能运行得到批准的软件,且无法访问互联网。在近30年的安全从业生涯中,只有一家企业从未遭遇过安全事故——因为它早在十年前就开始使用SAW。微软亦在这方面作出了巨大努力,并发布了众多极具参考价值的文档。

 

规则6

无论存在于何种位置,数据都应遵循保护原则。如果恶意人士将其下载至可移动介质内,则应保证内容得到加密且仅可由企业授权的资产及设备进行访问。虽然以加密方式为每一类有价值数据设置对应的“小型防火墙”会增加开销,但实际效果却绝对不会令人失望。

最后必须承认,CIA数据泄露事故本可不必发生,而这亦是有史以来影响最大且最令人难以接受的事故。要对此类关键性资讯加以保护,首先应制定严格的信息安全策略,而绝不可仅仅冷淡地表明已经“尽了最大努力”。我们每个人都需要为安全违规承担责任,并以此为基础考虑如何管理自己的设备。

原文标题:6 security essentials the CIA forgot,原文作者:Roger A. Grimes

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:wangxuze 来源: 51cto.com
相关推荐

2012-03-15 09:37:11

2014-01-02 09:26:04

2018-07-26 05:38:05

2018-10-28 15:45:13

安全趋势Gartner网络安全

2013-07-05 10:18:14

2017-07-24 10:15:32

2011-11-15 19:48:36

2018-08-03 05:41:13

数据隐私数据安全加密

2014-01-03 11:22:53

2015-10-22 23:12:13

黑客维基解密

2013-02-22 12:09:55

BYODBYOD安全

2023-09-27 08:00:00

安全Android

2015-01-06 13:25:57

2013-07-01 09:46:06

风险管理安全风险管理

2016-12-12 15:50:36

2023-01-13 12:39:27

2020-06-09 12:12:34

大数据安全数据泄露数据安全

2015-10-27 15:05:52

2017-03-13 16:22:33

Windows 10CIA漏洞

2016-08-18 21:55:00

51CTO技术栈公众号