美國人事管理局(OPM)、專業(yè)美容用品公司Sally Beauty Supply、星巴克、健康保險公司Anthem、成人交友中心和賓夕法尼亞州立大學(xué)發(fā)生的數(shù)據(jù)外泄事件在規(guī)模和影響上都不盡相同，但是這些事件都在安全漏洞方面為我們敲響了警鐘，同時也為我們總結(jié)了富貴的經(jīng)驗，需要我們采取更多保護措施以防范黑客。

當數(shù)據(jù)被竊后，發(fā)生數(shù)據(jù)泄露的公司就成為了人們關(guān)注的焦點。由于他們試著進行損害控制，那些已經(jīng)成為了入侵受害者的用戶自然很想知道在未來的公共監(jiān)督中如何再次避免這種事件的發(fā)生。

STEALTHBits Technologies 公司策略與研究主管Jonathan Sander 稱：“這些數(shù)據(jù)泄露事件當中的許多并沒有為我們帶來多少經(jīng)驗，但是它們?yōu)槲覀兦庙懥司?。這些數(shù)據(jù)泄露事件中很少有什么新東西。大多數(shù)的事件泄露都很以往的一樣，即安全性太差。”

Sander指出“從公共關(guān)系角度看，安全性注定會在這場競賽中輸?shù)?。沒有人會為你成功地阻止了數(shù)據(jù)泄露而向你道賀，所有的人只會對你的失敗而嚴加指責。”為了在指責當中保護自己，一旦公司發(fā)生了數(shù)據(jù)泄露，他們會拿出免責協(xié)議，并掩蓋真相，封鎖消息。

我曾經(jīng)接觸了幾家在近期發(fā)生了數(shù)據(jù)泄漏事件的公司，并很快就收到了這些公司的相同回復(fù)，即目前還沒有人可以向我談?wù)撨@些事件。這有點像一個黑暗的家庭秘密一樣，家庭中的所有成員都知道這件事，但是所有的成員都會為此保持沉默。

然而公司與家庭不同，他們需要保護公司的聲譽。為了自己的信譽，這些在近期發(fā)生數(shù)據(jù)泄露事件的公司當中的部分公司開始采取正確的應(yīng)對方法。賓夕法尼亞州立大學(xué)、Sally Beauty 控股、成人交友中心和Anthem均發(fā)布了媒體新聞稿，列出了他們對攻擊的應(yīng)對舉措，包括聘請法律顧問和第三方進行鑒定。

Sander稱：“美國人事局數(shù)據(jù)泄露事件在范圍和深度上證明了關(guān)于信息安全的所有疑慮。它們提醒我們?nèi)魏螘r候文件都有泄露的風(fēng)險，我們必須要高度重視這種風(fēng)險。”

星巴克也為我們敲響了警鐘，提醒我們終端用戶無法保護自己的密碼。“在星巴克事件當中，黑客竊取了密碼和有關(guān)電子郵件。”如果人們在聊天網(wǎng)站中使用的密碼與他們的銀行卡密碼相同，那么他們的銀行賬戶就會很容易受到攻擊。Sander 稱：“用戶對待數(shù)據(jù)安全非常隨意。他們需要承擔起相應(yīng)的責任。”

用戶端的人為錯誤并不是不法分子攻擊網(wǎng)絡(luò)的唯一途徑，因此公司需要重視對防范、檢測和響應(yīng)計劃進行風(fēng)險評估。Sander稱：“目前還沒有辦法知道數(shù)據(jù)泄露的所有途徑，因為泄露渠道非常的多。”

WhiteHat Security 的創(chuàng)始人Jeremiah Grossman談及這六起數(shù)據(jù)泄露事件時稱“目前我們還不知道所有的細節(jié)。但是我們知道這些數(shù)據(jù)泄露事件都是可以避免的。”公司不應(yīng)當將這些數(shù)據(jù)泄露事件看作與己無關(guān)，而應(yīng)當將這視為不法分子正變得越來越有經(jīng)驗的一個警報。

這些事件給我們帶來的最寶貴經(jīng)驗是要認清風(fēng)險分析的價值。為了構(gòu)建起最佳防御體系，公司需要知道漏洞在哪里。如果安全管理人員只有法規(guī)遵從性和規(guī)定列表，而沒有制定出一個策略，那么對工具和項目的投資都將無濟于事。

Grossman 稱：“人事局對受到攻擊的系統(tǒng)毫不知情，甚至不知道這個系統(tǒng)的存在。風(fēng)險管理通常只是發(fā)生在黑客攻擊之后。我們首先應(yīng)當知道自己在防范什么，威脅是什么，然后再關(guān)注相關(guān)的產(chǎn)品。”

安全研究公司Tripwire的總監(jiān)Lamar Bailey稱，清楚自己正在保護什么這一點對于公司構(gòu)建更為出色的防御系統(tǒng)來說非常關(guān)鍵。“我們需要了解所保護網(wǎng)絡(luò)的安全防護能力的下限。”Bailey稱：“產(chǎn)品和解決方案固然很好，但是它們并不是對安全性的全部投資。首先，我們必須要知道如何將它們與安全項目整合為一體。”

這些數(shù)據(jù)泄露事件也暴露了不法分子的險惡用心。盡管星巴克和Sally Beauty Supply事件看起來是他們是不法分子攫（jue）取經(jīng)濟利益的受害者，但人事局、Anthem和賓夕法尼亞州立大學(xué)事件證明這些不法分子有著更為險惡的動機。

LogRhythm 的首席信息安全官James Carder 稱：“人事局存儲著大量的美國聯(lián)邦政府雇員身份信息。如果攻擊某個聯(lián)邦機構(gòu)(+本站微信networkworldweixin)，那么你只能獲取那個的機構(gòu)信息。但是如果將目標鎖定為人事局，那么你將獲取所有聯(lián)邦機構(gòu)的信息。”

Carder指出這些漏洞是深深地根植于信息技術(shù)當中。其中包括訪問控制漏洞和身份管理漏洞。“通過嚴格授權(quán)和訪問控制(身份管理)的應(yīng)用與數(shù)據(jù)保護應(yīng)當成為所有聯(lián)邦機構(gòu)的重點。身份管理非常重要，但是政府和大多數(shù)公司對此關(guān)注重并不高，然而它們卻可以欺騙目前絕大多數(shù)的安全控制措施。”

與此同時，Carder認為從這些數(shù)據(jù)泄露事件中得到的最大教訓(xùn)是要消除人為的錯誤。“目前云環(huán)境非常受到歡迎。要將應(yīng)用轉(zhuǎn)移至安全的基礎(chǔ)設(shè)施上，而不是試圖保護所有的東西。要消除人的因素。” Carder認為谷歌的Beyond Care可以有效保護公司不受黑客的攻擊。

網(wǎng)站可靠性工程經(jīng)理Rory Ward和谷歌Google SRE虛擬化軟件技術(shù)文檔工程師Besty Beyer在他們的白皮書中稱：“周界已經(jīng)不再是企業(yè)的地理位置。在這個周界之內(nèi)，也不再是托管個人計算設(shè)備和企業(yè)應(yīng)用的安全之地了。”

理論上，通過徹底重新設(shè)計基礎(chǔ)設(shè)施以消除人為錯誤是保護數(shù)據(jù)是最為理想的。但是實際上，只有當一個系統(tǒng)被建立起來后我們才能夠檢測它們的價值。

Grossman稱，在持續(xù)尋找保護數(shù)據(jù)安全的辦法時，公司還需要清楚他們可以通過制定一些如蜜罐等“絆發(fā)線策略”來抵御攻擊，將損失降到最低。

Grossman認為蜜罐功能效果可與防范劫匪在極短時間內(nèi)對銀行進行搶劫的措施一樣。“這樣一來，我們不會損失所有的錢。”絆發(fā)線系統(tǒng)會警報網(wǎng)絡(luò)管理員有可疑行為入侵，并盡早對其進行檢測，以阻止不法分子訪問所有的東西。

最后一個教訓(xùn)也非常重要：不要對發(fā)生了數(shù)據(jù)泄露事件感到羞恥。因為畢竟世界上沒有打不開的門。Bailey稱：“如果你遇到了攻擊，那么同樣的攻擊肯定還在多個地方繼續(xù)發(fā)生著。在不將特殊信息泄露給競爭對手的情況下，我們應(yīng)當彼此共享這些攻擊信息。”