发生在去年的维基泄密事件令美国五角大楼惶恐不已。如今,事情似乎已经过去,但它所带来的影响却远远没有结束。对于安全和IT专家来说,这种泄密可以作为企业改进策略、过程和防卫的一个重要警醒。下面笔者给出一些技巧,目的是为了帮助政府部门或企业避免成为下一个维基泄密的源头。
1、安全策略和过程。
每一个政府组织或企业都必须建立明确的策略,定义哪些人可以访问哪些信息,以及什么时候可以访问。必须积极地维护和更新这些策略和过程,并且要恰当地传达。然后,必须部署恰当的工具来减轻企业风险,管理相关的安全策略。
在高度敏感的信息环境中,策略要求严格管理和实施,要密切监视信息访问,并将访问控制只授予拥有合法需要的人员。监控、风险及合规工具能够使安全策略全面涉及来自交换机、路由器、安全平台、服务器、终端及应用程序的数据源,从而使这些任务的某些方面实现自动化,并可以实时查看合规状态。
然而,任何策略都不可能100%地有效,许多企业都经历过这种问题:某个内部人员遵循策略要求,也拥有合法需要,但其目的却是非法的。在这些情况下,安全技术应当提供下一层防御来对付这种威胁,用以确保策略不是形同虚设。
2、实施基于主机的安全解决方案。
基于主机的安全方案包括很多工具,企业借此可以保护和控制笔记本和台式机。举个例子,特定的软件(包括反病毒和反恶意软件之类的产品)可以防止用户在包含机密信息的网络计算机上使用U盘或可擦写的光盘。
基于主机的安全方案可以保护和限制用户在工作站上的操作。例如,基于主机的控制可以同时禁用有线和无线网络功能,防止黑客将其作为一个登录点。
基于主机的安全方案还可以与网络访问控制(NAC)系统集成起来,构建起网络系统防御的第一道防线。如果一台笔记本电脑被病毒感染了,或者是在从企业网络上断开时错过了一个重要的安全补丁,那么,基于主机的安全方案与NAC方案相结合,就可以隔离被感染的系统,并清除病毒,或者在它连接到网络之前必须安装恰当的安全补丁。
3、数据泄露预防(DLP)
数据泄露预防(DLP)工具可使企业洞察网络上的活动情况。包括监视通过电子邮件、文件共享、FTP等发往网络之外的内容。企业可以精细调整DLP方案,并使DLP在出现特定的事件时监视网络,如阻止那些包含源代码或信用卡号等敏感信息的通信。
4、流量分析工具。
这种工具可以查看网络上的个别用户的通信,查看这些用户在访问什么网站,特别是重视那些支持文件共享的网站。网络管理员也许不必阻止这种网站,但该种工具却有助于他们实时地知道用户访问这些网站的时间和目的。
流量分析工具还可以检测从网络上窃取数据的恶意企图。网络上的每一个设备都有自己的运行方式。例如,如果流量分析工具检测到某个打印机看起来更像是一台Linux工作站,那么,某人可能正在骗取打印机的IP地址,其真实目的是为了窃取某个系统的数据。
5、日志管理和关联。
发生在网络上的几乎所有的活动都会以日志记录的形式留下痕迹,也就是在用户与网络设备交互时都会自动记录。如果发生了信息泄露,日志就可以在取证时提供更为简单的访问,这种信息可以追溯到几天甚至几年以前。这种工具可以更快捷地决定数据泄露的源头。一旦确认了某个人使数据离开网络的途径,就可以制定新的策略和程序来防止这种行为再次发生。
在企业环境中实施时,上述所有的解决方案都可以集中管理和监视。其中的多数工具都可以与安全事件及事件管理(SIEM)工具集成在一起,实时地查看安全环境。SIEM工具根据事件的“签名”(特征)使任何单位都可以自动地将事件关联起来。这里,所谓的签名是指在跨越多种安全平台中的事件组合(以前曾经造成损害或企业造成损害的事件组合)。其实,任何企业都可以根据其环境中真实的或理论上的威胁来构建自己的签名。