通过定位企业安全缺陷来确保数据安全

汽车零部件厂商、大学医院和互联网创业公司之间有什么共同点呢?尽管他们是完全不同的机构,但他们都有可能因严重的数据失窃而倒闭。然而,不同机构的敏感数据、风险因素和防范手段可能是完全不同的。

在本文中,我们将提供一个蓝图,帮助哪怕是最独特的机构作自我评估,以确定他们的“软肋”在哪里,如何量化这种风险,以及如何使用度量标准来排列各种预防数据泄露措施的优先次序。

数据安全最佳实践:评估“弱点”

每个机构都有独一无二的工作方式,但由于通常使用相同的系统、服务和流程,他们还是有许多相似之处。某些常规技术可以用来识别不同机构的网络和防御“弱点”。这些机构可以通过风险评估、漏洞扫描和渗透测试等手段来确定这些弱点。

在执行风险评估的过程中,通过评估是否缺少安全控制,或者安全控制有无实现预期目标,您可以确定是否存在可导致数据外泄的弱点或潜在问题。让我们看看汽车零部件厂商的例子。它不仅要保护其知识产权,如设计方案和研究成果,也要保护产品的生产流程。另外,如果某些零部件是用于军用车辆的,那针对这部分数据会有更严格的数据安全需求。因此,风险评估应包括敏感数据清单——流动到哪里(动态)和驻留在哪里(静态)——存在的数据量,以及评估员工和合作伙伴如何与数据交互。如果相关控制大量缺失或不足,您可能已经确定了或将导致数据泄露的系统级问题。

作为风险评估的一部分或持续过程,您也可以执行漏洞扫描,以确定那些缺少补丁程序、存在不安全配置、或缺少其他安全控制的系统。漏洞扫描可以扫描操作系统、应用程序、数据库、Web应用程序或其他系统组件。以大学医院为例谈谈如何运用这一技术。很显然,医院最敏感的资产是包含个人信息和医疗保健记录的病人资料库。这种环境下的漏洞扫描将集中于与数据交互的应用程序,检查未经适当授权的攻击者是否可以利用恶意技术获得数据,以及访问控制是否针对不同用户群组分配了适当权限、是否能防止数据被错误处理。这种扫描还可以找出未打全补丁的系统,或者那些具有其他潜在安全性配置错误的系统,如允许不安全的 SSL使用。

在任何关键任务系统上,应该认真监测和测试漏洞扫描,以使扫描所带来的问题最小化。例如,对于一个存在SQL注入漏洞的Web应用程序:使用Web应用安全扫描器来确定Web安全漏洞,如针对SQL注入做深度测试,可能导致意外地向生产数据库中插入坏数据。

在风险评估时,如果漏洞扫描将某一类型的服务器、应用程序或系统配置标记为“高危”,这就指出了一个需要额外安全控制的领域。根据基于系统数据或关键性的资产手动分类、以及扫描发现的漏洞,漏洞扫描可以将系统划分为高危等级。漏洞扫描也许无法确定所有的安全控制是否到位,所以您可能需要手动配置扫描方式,以验证自定义安全控制已部署到位。相比风险评估或漏洞扫描,渗透测试既可以针对“弱点”作更详细的分析,又可以确定另两种方式会忽视的“弱点”。渗透测试可以找出能被用来进入系统的漏洞。例如,渗透测试可以确定Web应用中的某个可疑SQL注入漏洞确实可以用来最终完全控制服务器。

数据安全最佳实践:量化风险

风险评估最重要的一方面,是给机构确定风险评估的范围,以及可用于控制风险到可接受水平的资源。对不同的机构而言,哪些风险可以接受、哪些资源必须用来管理不可接受风险,都不尽相同。

例如,在一个资金有限的互联网创业公司,风险评估可能找出大的和小的缝隙。该机构可能没有足够的人力或预算来有效闭合每一个缝隙,所以需要给这些缝隙排列优先级以便治理。

量化风险是沟通和确定风险等级的最简单方法之一。一些风险评估方法会对已识别的风险进行度量和排序,并估算可用于管理这些风险的资源。 Octave范例有风险分数,FAIR有风险因数测量,其他方法也有类似的量化。信息风险分析学会有用于风险管理的额外资源。请计划在您的风险评估中包含这些类型的指标和优先次序。

数据安全最佳实践:优先考虑预防措施

在度量和优先次序分析的基础 上进行风险评估,您可以集中精力于具体的建议,这将减少严重数据泄露的风险。一些问题会比其他问题更容易解决,但通过这种方法,一个机构能够确定它是否应该开始花三天来解决一个中等水平的风险,或者开始花三个星期来解决一个高级水平的风险。您还可以估算实施及长期运行安全控制的成本,从而为机构确定一个性价比最高的、可以将风险减少到可接受水平的安全控制。有一种策略可用于很多类型的专门机构,就是把重点放在给所有包含确定数据类型的系统实施安全控制,以确保系统得到一致的保护。另一种类似的方法是根据资产价值来排列修复工作的优先次序。

结论

尽管每个机构各不相同,他们有独特的基础设施和独特的风险,但是,许多相同的技术能用来识别导致数据泄露的漏洞。虽然我们无法防止所有的数据泄露,但是,通过务实、系统的方法来评估、量化、解决风险,将有可能减少严重数据泄露的可能性。