解析数据泄漏审计

2014-11-08 21:57:47 大云网　点击量：评论 (0)

当这家位于美国波士顿的中型制药公司的IT主管第一次被要求进行数据泄漏审计时，他非常激动，他认为审计将会暴露公司数据泄漏防御系统中的一些问题，然后他就能利用这些审计结果争取更多的资金部署更好的安全措施

当这家位于美国波士顿的中型制药公司的IT主管第一次被要求进行数据泄漏审计时，他非常激动，他认为审计将会暴露公司数据泄漏防御系统中的一些问题，然后他就能利用这些审计结果争取更多的资金部署更好的安全措施。

　　“数据泄漏一直不是大家关注的重点，除非发生重大的泄漏事故，IT人员最大的希望是能够引起公司领导对数据脆弱性的关注，然后能够投入更多资金，”这名IT主管表示。

　　但是结果比他预想得更加严重，为期15天的审计查出了11000起潜在的泄漏事故以及IT团队的安全部署方面的严重问题。

　　由安全咨询公司Networks Unlimited公司进行的这次审计主要检查了公司的出站电子邮件、FTP和web通讯，审计的目标主要是一般财务信息、公司计划和战略、员工和其他个人身份信息、知识产权和专利权等方面的泄漏情况。

　　Networks Unlimited公司在企业局域网和防火墙间放置了一个接头（tap），在外部电子邮件网关和防火墙间放置了第二个接头。Networks Unlimited公司在两个服务器上使用了WebSense软件来监测未加密的通信流量，然后对比公司的正常来分析这些流量。具体的说，Networks Unlimited公司主要是要找出与该制药公司的内部保密政策、公司信息安全政策、HIPAA法案、SOX法案等相违背的地方。

　　Networks Unlimited公司的高级工程师Jason Spinosa表示，当他为这次审计选择标准时，他通常会建议公司根据公司的安全风险来确定政策设置。

　　当Spinosa发现有超过700多个关于关键信息（社会安全号、定价、财务信息和其他违背PCI标准的关键数据）的数据泄漏，他还发现超过4000多处与HIPAA法案以及国防部信息保障认证规则相违背的严重问题。

　　虽然该公司从技术上来看不完全属于HIPAA法案管制的范围，因为主要是由第三方处理所有的个人身份信息，IT主管表示他们希望最终能够实现自己公司来管理那些信息。此外，Spinosa表示，哪些不属于HIPAA范围的公司应该根据HIPAA的基本准则来审计，因为存在潜在的敏感数据泄漏。

　　难以置信的是，这次审计发现了超过1000起未加密的密码传输，例如访问个人帐户、web电子邮件帐户的密码等。Spinosa表示这个结果很严重，因为很多员工喜欢在多个系统使用相同的密码，“这会使内部应用程序变得非常不安全。”

　　以下是这次审计中发现的最严重的泄漏威胁：

　　No. 1：机密的zip文件

　　员工发送的未加密电子邮件中包含明确标记为“机密”的zip附件，尽管该电子邮件的收件人签署了保密协议，但是所有类似信件都应该被加密。

　　最坏的情况：这封电子邮件可能会被第三方截获并获取，这也潜在地违背HIPAA法案，因为明确表明了附件内容的性质。

　　No. 2：机密附件

　　员工向外部供应商发送包含有标记为“机密”附件的电子邮件，该邮件中讨论了病人参与临床实验的权利和补偿问题。

　　最坏的情况：该邮件保护关于未完成的机密文件和可能损害该公司声誉的信息。

　　No. 3：临床研究