如何创建一个工具集以避免Web 2.0安全问题

具有协作和互动特性的Web 2.0技术对商业以及各种规模的公司来说具有很大的吸引力。同时,垂直整合产品(verticals)也在充分利用社交网站、免费在线服务以及其他协作的Web 2.0平台。

虽然这种互动性令人兴奋和鼓舞,但是生产力的损失、数据泄漏的风险以及Web 2.0固有的安全风险对企业来说是一个三重威胁。首席信息安全官们(CISO)需要找到安全与商业对这些工具需求之间的微妙平衡,并在降低数据丢失风险和声誉损害下使用它们。

然而,由于Web 2.0技术的飞速发展,经历过时间考验的安全方法未必是恶意攻击和数据丢失的最好防御方式。因为AJAX、SAML和XML等这样的协议对威胁检测带来了一些麻烦,许多企业对抗网络威胁所采取的主要防御措施——传统的网页过滤(Web filtering),对Web 2.0的安全问题来说,是一种并不充分的防御。此外,RSS和富互联网应用程序直接进入网络,同时非静态网页内容使识别更加困难。最后,用户生成的内容更是难以包含在其中。

除了诸如标准图像、IDS/IPS、带宽控制(bandwidth-shaping)、防病毒/反恶意软件和防火墙规则集这些传统的防御方式,许多首席信息安全官还使用数据丢失防护(DLP)技术,以减少数据丢失的威胁。但他们也发现,这些新兴技术并不是立即生效的(plug-and-play)。无论部署一个基于网络、主机还是基于数据识别的DLP产品,我们都必须记住在速度、精确性以及足够的范围之间达到一个平衡的重要性。

DLP内容分析产品提供各种Web 2.0的安全选项。必须正确理解它们之间的异同,这样才能使一个产品更好地契合商业需求。DLP分析技术包括:使用正则表达式的基于模式搜索、通过搜索实际数据库中基本元素的指纹识别、确切文件的匹配、统计分析以搜索那些可能包含类似敏感数据的内容、完整文档的匹配、词汇分析(如就业机会、内幕交易、骚扰等)、供应商提供的类别、处理控制指令(如HIPAA和GLBA)。这并不是一刀切的,你所选择的技术要根据你负责保护的数据而定。

宏观来看,安全专家应该如何进行Web 2.0安全防范呢?使用Web 2.0技术是没问题的,但还需要预先主动识别风险,并拥有一个Web 2.0安全工具集,从而最大限度地发挥其效益。该工具包应该具有基于商业目标的文档策略,明确表示什么内容是被允许的、什么是应该被阻塞的、什么人在何时可以访问。应该建立新的政策或更新现行政策,它们应该更清楚、更有效。

在你的政策到位后,你应该阻止信息从你网络传出。你的工具包必须包含可以监控、预防、预警、加密和每个策略所需的检疫技术。部署一个可以阻止敏感数据从你的出站邮件系统传出的产品,并使其实时地工作以避免影响员工或企业的生产力。

最后,即使有了这些控制措施,数据和信息也将不可避免地会找到进入互联网的路径。企业在网络上使用任何敏感的信息时,一定要保持警觉。当公司信息通过社会群体,不管是有意还是无意的,可用时,采用声誉保护服务、内部监测方案,或对关键词和关键短语进行网络搜索来处理这种情况是十分必要。

与所有新兴技术一样,Web 2.0和其相关部件的进步都是日新月异的。专业的安全人员需要继续关注风险,并采取相应的防御措施。抵御风险的政策、技术和架构必须能主动地解决问题,并可以被首席信息安全官用来进一步巩固其商业价值。