解析数据泄漏审计

2014-11-08 21:57:47 大云网  点击量: 评论 (0)
当这家位于美国波士顿的中型制药公司的IT主管第一次被要求进行数据泄漏审计时,他非常激动,他认为审计将会暴露公司数据泄漏防御系统中的一些问题,然后他就能利用这些审计结果争取更多的资金部署更好的安全措施
当这家位于美国波士顿的中型制药公司的IT主管第一次被要求进行数据泄漏审计时,他非常激动,他认为审计将会暴露公司数据泄漏防御系统中的一些问题,然后他就能利用这些审计结果争取更多的资金部署更好的安全措施。
  “数据泄漏一直不是大家关注的重点,除非发生重大的泄漏事故,IT人员最大的希望是能够引起公司领导对数据脆弱性的关注,然后能够投入更多资金,”这名IT主管表示。
  但是结果比他预想得更加严重,为期15天的审计查出了11000起潜在的泄漏事故以及IT团队的安全部署方面的严重问题。
  由安全咨询公司Networks Unlimited公司进行的这次审计主要检查了公司的出站电子邮件、FTP和web通讯,审计的目标主要是一般财务信息、公司计划和战略、员工和其他个人身份信息、知识产权和专利权等方面的泄漏情况。
  Networks Unlimited公司在企业局域网和防火墙间放置了一个接头(tap),在外部电子邮件网关和防火墙间放置了第二个接头。Networks Unlimited公司在两个服务器上使用了WebSense软件来监测未加密的通信流量,然后对比公司的正常来分析这些流量。具体的说,Networks Unlimited公司主要是要找出与该制药公司的内部保密政策、公司信息安全政策、HIPAA法案、SOX法案等相违背的地方。
  Networks Unlimited公司的高级工程师Jason Spinosa表示,当他为这次审计选择标准时,他通常会建议公司根据公司的安全风险来确定政策设置。
  当Spinosa发现有超过700多个关于关键信息(社会安全号、定价、财务信息和其他违背PCI标准的关键数据)的数据泄漏,他还发现超过4000多处与HIPAA法案以及国防部信息保障认证规则相违背的严重问题。
  虽然该公司从技术上来看不完全属于HIPAA法案管制的范围,因为主要是由第三方处理所有的个人身份信息,IT主管表示他们希望最终能够实现自己公司来管理那些信息。此外,Spinosa表示,哪些不属于HIPAA范围的公司应该根据HIPAA的基本准则来审计,因为存在潜在的敏感数据泄漏。
  难以置信的是,这次审计发现了超过1000起未加密的密码传输,例如访问个人帐户、web电子邮件帐户的密码等。Spinosa表示这个结果很严重,因为很多员工喜欢在多个系统使用相同的密码,“这会使内部应用程序变得非常不安全。”
  以下是这次审计中发现的最严重的泄漏威胁:
  No. 1:机密的zip文件
  员工发送的未加密电子邮件中包含明确标记为“机密”的zip附件,尽管该电子邮件的收件人签署了保密协议,但是所有类似信件都应该被加密。
  最坏的情况: 这封电子邮件可能会被第三方截获并获取,这也潜在地违背HIPAA法案,因为明确表明了附件内容的性质。
  No. 2:机密附件
  员工向外部供应商发送包含有标记为“机密”附件的电子邮件,该邮件中讨论了病人参与临床实验的权利和补偿问题。
  最坏的情况: 该邮件保护关于未完成的机密文件和可能损害该公司声誉的信息。
  No. 3:临床研究
  员工将包含有基本完成的临床研究报告附件的未加密信息发送给外部供应商。
  最坏的情况: 这些临床研究结果可能会被第三方截获并提早曝光。
  No. 4:重要电子表格
  员工将重要的员工补偿数据发送给外部调查公司,所附的表格可能包括工资、奖金、销售配额、股票期权、授权股票价格等重要信息。
  最坏的情况: 这直接违反了美国的隐私法,并且这些信息的包括将会影响公司竞争力和公共形象。
  “对于我们而言,最重要的事情就是保护我们的知识产权,包括专利等。这些信息的泄漏不仅会导致罚款。也会对公司声誉造成极差的影响,因此我们必须保护自己的信息。”该制药公司的IT主管表示。
  “我们以为我们的安全状态很好,我们已经为隐私法进行了内部和外部审计的准确,并且进行了广泛的渗透测试,另外,公司还部署了入侵检测和防御以及笔记本加密等措施,还进行了员工培训,但是审计结果表明,做了这么多也还是不够的。”IT主管表示。
  如何应对
  Spinosa建议该制药公司的安全团队采取双管齐下的方法并重新审视企业业务流程和技术强化,“现在,他们处理机密信息的方式会让他们承担违法法律、法规和商业合作伙伴关系等方面的风险。”
  他还补充说,他发现的所有泄漏事故都是可以很容易预防的,他建议公司们不要依赖于用户或者商业合作伙伴进行正确安全的操作,相反的,公司应该进行自动加密。例如,该公司应该扩大对传输层安全的使用来保证与其他业务伙伴的敏感信息的传输,他们已经开始使用该安全层来保护其与FDA的通讯。
  此外,该公司还应该部署安全的电子邮件产品,能够自动检测和加密保护机密信息(如专利和临床实验结果等)的邮件,Spinosa表示,这些产品还会提醒发件人(包括业务伙伴)谁在试图发送未加密的机密信息。
  最重要的是,企业应该对其网络进行定期审计以确保所有的政策都被落实。
  Spinosa还建议对用户和业务伙伴进行培训,应该对用户经常进行关于重要数据泄漏的影响的培训,还应该向他们解释哪些类型的信息属于机密信息。
  最后,公司应该只与哪些了解如何安全交换信息的公司进行业务往来。
  该制药公司的CIO表示他们接受这些建议,并表示他们已经部署了大量加密措施,但是由于没有得到高级管理人员(COO、CFO和首席医疗官)的支持,这些还只是纸上谈兵。
  因此,他的第一项任务就是向高层管理人员们深入讲述审计发现的问题以及消除潜在问题的解决方案,只有让高层们了解风险的所在,事情将简单得多。
大云网官方微信售电那点事儿

责任编辑:叶雨田

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞