信息融合网络后重新审视数据安全防护

日期:2008-12-4作者:邹铮来源:网界网

  近年来,越来越多的企业开始向外部商业伙伴和移动办公的员工开放公司的网络和数据中心,而安全专家们则一再表示,网络外围防御非常薄弱,存在很多漏洞,很可能使关键数据从端点泄漏并涌出数据库和文件共享区域。去年发生的JX公司泄漏事故,11名攻击者自2004年来就隐藏在TJX公司和其他6家品牌商的网络中,总共盗取了信用卡和借记卡帐户4500万美元。

  如今的网络到处都布满漏洞,企业不仅要抵御那些试图攻击漏洞盗取信用卡号码的黑客,同样也要避免那些在家里办公的员工不小心将关键资料传到外部网络。

  哥伦比亚大学计算机科学系的教授,Usenet在线讨论系统的创建人之一Steven Bellovin表示“通常情况下,公司经常需要透过防火墙与外部网络用户联系(包括客户、WEB服务、供应商以及外包商),我们并没有保护好我们的关键数据,那么,我们应该怎么做呢?”

  Bellovin提出了黑心安全的概念,以防止外部攻击者获取数据库和文件共享区域中的关键数据。这个概念与Open Group的Jericho Forum的想法非常相似,Jericho Forum主张根据数据重要性给数据分级,重点保护存储关键数据的区域,为这些分级数据进行加密并部署不同级别的安全通信方式。

  网络外围,作为过滤网络攻击的有效屏障,其实还可以发挥更多重要的作用。不管是Bellovin还是Jericho Forum,他们并没有主张让公司企业对他们的外围边缘安全置之不理,他们也没有让公司简化信息保护的流程,他们希望开发出拥有更多过滤层、更具复杂性和多种选择的整合保护产品。

  “我们的问题在于没有从整体把握数据,结果导致大量数据泄漏事故的发生,从整体把握数据需要弄清楚被访问的资源与用户之间的关系,用户通常怎样使用数据以及数据的性质等问题。”服务器和存储咨询公司Taneja Group的验证服务主管Jeff Boles表示说。

  从整体把握保护关键数据的方法为那些正试图分辨结构化数据和非结构化数据或者使用中的数据和存储中的数据的IT专业人士们提供了整合解决方案的概念,不过,数据分级、加密、监测、控制访问以及关键数据的使用等工作是很难作为整体解决的,这就使公司不得不使用各种不同的工具来保护数据不被外泄,这些工具数据丢失防护工具、访问控制和加密工具等。

  核心数据保护

  首先,公司必须弄清楚哪些数据需要得到保护以及将这些数据存储在何处等基本问题,这也是Bellovin和Jericho模式的基本原理。

  然而,很多公司根本不知道哪些是需要保护的数据以及数据存储的位置,Aberdeen Group的副总裁Derek Brink表示。在Aberdeen Group五月份公布的调查显示(调查对象是120多名IT安全专业人士),50%的受访者表示其公司已经明确了关键数据并对关键数据做了分类。保护真正重要的资源和数据,对于企业而言是十分必要的。

  位于圣地亚哥的夏普医疗护理中心,拥有七家医院、两支医疗小组和16000名员工,他们使用了各种手动和自动化工具来了解数据性质并管理好关键数据。这其中包括使用赛门铁克公司的Vontu数据丢失防护产品套件来发现关键非结构化数据,例如医保卡号码和社保卡号码等。通过识别存储HIPAA法案(健康保险流通与责任法案)、金融法规与其他法规审计数据的区域关键数据库中的数据,检查这些数据在数据库外面的文件共享区域和端点处的行径来最终确定关键数据。

  根据Bellovin和Jericho的理论,DLP供应商们认为,DLP工具最好用于监控少量的重要的数据类型。因此,Vontu在执行初次扫描时并不需要标记关键数据库中的每种类型的数据,人们通常会标记前五种或者前六种需要保护的数据类型。Aberdeen调查结果显示,像夏普医疗护理中心一样,大多数公司会最先对合规数据进行分类并予以保护。

  “假设某公司有120名员工,我希望根据部门数据的性质来确定适合访问包含关键数据的文件夹的人员,这意味着必须确定哪些人能够访问文件夹、多久能进行一次访问以及他是否应该有访问特权等问题,”Rivers指出,“我们现在面临的挑战就是如何限制访问权,目前我们正在使用Varonis来实现这一目的。”

  当Vontu确定了包含关键数据的文件夹后,Rivers会将文件列表交给负责管理这些关键数据的管理人员们,然后管理人员们要再次核实这些文件是否包含影响商业运作的信息,从记录、区域、操作人和时间等角度来核实。

  Rivers还使用Varonis和Vontu工具来分析数据保留和其他进程(很难写入单个政策)的监管规则,“我们需要遵守很多法律法规,却没有一条数据保留规则可以让我写一条政策,有些部门根本不需要存储关键数据,而有些部门可能需要将数据保留10年时间。”

  IT技术组和业务部门的管理人员可以从Vontu和Varonis工具的分析结果中获取很多有效信息,同时可以通过电子邮件对用户进行简单培训,并且当用户违反某些政策时,还会弹出警告,这样因员工操作过程中造成的违规率就能够大大降低。

  Taneja集团的分析师Boles谈到数据保护模式的时候说,很多公司仍然处于对数据分类的阶段,要想进入下一阶段(通过判断数据使用方式和监控站点数据流量来控制数据访问)还需要下功夫。

  网络和端点

  基于网络的DLP设备很符合Bellovin提出的模式,即更近距离地保护数据库安全,数据库应用防火墙也是如此,例如Guardium和Imperva公司的防火墙能够用于数据硬化、发现、分类、监控和审计。

  国际知名灾难恢复提供商SunGard Availiability Services公司的安全解决方案主管Richard Rees表示,“Bellovin有理由担心保护数据库的问题,特别是当考虑数据库与网络服务器关系的时候,当我们对客户的网络服务器做渗透测试时,我们只是将该服务器作为向数据库返回数据的渠道,而我们却发现其中存在着各种各样需要修复的漏洞,SQL注入攻击、跨网站脚本攻击等。”

  Bellovin想到一些办法。他提出一种网络SQL语言,在这种被成为“NewSpeak”的语言中,任何动词都不能用于不安全的命令,“没有命令可以指示说,‘给我信用卡号码’,这不是网络服务器能够做的事情,相反,命令应该是这样:‘这是总额,发送此次交易进行结算’,”Bellovin解释说,“不应该存在泄漏数据库信息或者读取信用卡号码的动词命令。”

  通过重写命令,开发者可以将Web应用程序进行硬化。不过,这不仅需要教会开发者使用不会被欺骗的命令语言,而且要让数据库明确理解语言含义,分析家认为这不可能短期内能够实现。

  Bellovin还建议取消Web服务器的验证功能,并且取消数据库的每个帐户证书。他推荐使用用户级的验证方式,这可能要通过联合身份验证模式来实现,例如TriCipher公司使用的模式,能够为电子商务应用提供网络验证。与此同时,专家认为访问权应该根据数据本身的安全属性来决定,这样就可以简便地通过加密来实现访问控制,因为访问权可以临时设置。

  Bellovin认为验证应该是伴随每一条SQL命令的,即每次用户从web服务器向数据库发出SQL命令时都需要进行验证,如果用户提出请求查看某些用户记录,而该请求不包含的时候,数据库服务器将不会作出回复。即使黑客攻击网络服务器也无法登陆帐户,因为他无法找到密码,密码只有用户本人和数据库知道。

  Imperva和其他数据库保护产品只要能够将几种保护机制(包括启发式机制、相关联机制以及签名机制等)整合在一起就能支持这样一个体系,同时,还必须利用一种简单的“有效/无效-请求-回复-传输/交换(valid/invalid request-response-transmission/transaction)”系统,能够对传输的每个站点进行检查。

  SunGard公司的Rees说,“Bellovin所说的是真正意义上的同心层,在网络外围不能没有防火墙和入侵监测系统,因为它们确实能够保护网络,虽然它们不一定能保护应用程序。”

  除了为分类数据监测数据库和网络外,公司还必须防止数据在端点处泄漏出去。

  为此,很多端点保护公司一直在努力试图将DLP系统整合入他们的产品套件中(通常是通过收购来实现)。自赛门铁克公司去年12月完成对Vontu的收购以来,很多公司也开始收购DLP厂商,包括2007年Trend Micro公司对Provilla的收购以及McAfee最近对Reconnex的收购等。现在这些公司的DLP组合就更加完善了,不仅包括网管监测装置,而且还包括能将数据导入报表控制台的端点代理。

  DLP公司还将加密技术添加到产品组合中,加密技术也是新安全模式的另一层必要的数据保护层。例如,Sophos最近收购了一家德国数据安全公司Utimaco,而McAfee去年秋天买下SafeBoot公司,从而使产品组合的数据加密功能更加完善。使用这些工具时,公司就能在端点制定自己的政策,例如“当下载数据到USB设备时需要加密”。
 
  “端点最终必须发展成为灵活的、有弹性而强硬的网络外围,或者说是网络的皮肤,”来自南卡罗莱纳洲的O’Berry说,他正在评估McAfee公司的Reconnix iGuard同时他还部署了McAfee公司的端点DLP代理,并使用Safeboot进行端点加密。“端点是犯罪分子首要攻击的地方,他们能够利用端点远程控制电脑,对终端用户实施keylogger和钓鱼攻击,以获取大量资金。”

  Signal Financial Credit Union公司表示他们公司因使用网关和端点DLP产品而阻止了98%的数据泄漏问题,该公司在网络端点处部署了Code Green Networks公司的Content Inspection检测设备来检查输出电子邮件流量并予以保护,以及创建电子票和管理规则和角色等工作。

  为增强网络的数据丢失防护能力,该公司还使用了Blue Coat系统公司的ProxySG产品设备来代理其他输出信息流量,包括SSL流量(需要使用可选SSL解密卡进行解密)等,对外数据传输通常隐藏于常用的SSL协议下。

  “DLP设备能够监测所有输出的数据,尤其是对关键信息的监护,包括帐户信息、信用卡号码和其他重要数据类型等,”Kensington公司的首席技术官Steven Jones表示,他们公司在端点处部署了Code Green 代理来避免通过USB端口和无线网络的数据泄漏。

  关键数据的泄漏可能发生在输出流或者公司网络的端点处,这意味着企业需要在数据库、端点处、网络和Web中增加额外的保护层。用Bellovin的话来做结语:“我们需要以不同的方式来思考这个问题,因为目前所做的网络外围保护根本不够。我们需要在重要数据周围部署具有更强安全性的数据中心架构,因为网络外围处的安全漏洞是不可避免的。”

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

邹铮
邹铮

TechTarget中国兼职翻译。自由撰稿人,专注企业IT安全。

企业数据安全>更多

  • Ragente固件是如何创建Android后门程序的?

    日前在Ragentek固件中发现了一个Android后门程序,该后门程序允许攻击者使用中间人攻击并获得完全root访问权限。那么,这个后门程序是如何运作的,我们该如何应对?

  • McAfee全面数据丢失防护产品概述

    去年9月,英特尔以9亿美元将其安全业务主要股权出售给私募股权公司TPG,该交易预计将于今年4月完成,之后Intel Security将更名为McAfee。与很多主流信息安全供应商一样,Intel Security提供数据丢失防护软件,帮助企业预防潜在的信息泄露……

  • 中间人攻击:你的信用卡数据是这样暴露的……

    NCR Corp研究人员展示了针对PoS终端和PIN输入设备的被动中间人攻击是如何绕过信用卡芯片和密码保护、而导致信用卡数据可在其他地方被使用以及修改的。

  • 谷歌Cloud KMS简化密钥管理服务,但缺少亮点

    密钥管理服务的质量在于其简化保护加密密钥安全的能力。虽然专家对谷歌Cloud KMS的易用性印象深刻,但该产品并没有提供任何特别的新功能。

相关推荐

技术手册>更多

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

  • PDF安全使用策略指导手册

    PDF是企业常用的文件形式,但是随着企业对它的依赖性增长,PDF文件也越来越受到攻击者的关注。目前的PDF攻击采用壳代码(shellcode),它使恶意软件很难被发现和移除。然而企业需要用PDF文件来传输信息,尤其是敏感信息,所以企业应该重新评估其PDF安全策略,重视PDF的安全性。本迷你电子书将提供保护PDF文件安全的最佳实践,并且对何时使用PDF文件提出建议。

  • 移动安全:从MDM到EMM

    移动设备大量涌入企业催生了一整套全新的技术来解决安全性和合规性的问题。移动设备管理(MDM)最先出现,一度是解决移动安全较好的选择。然而新的安全威胁不断升级,随之出现了更强大和全面的管理方法,其中标志性方法就是企业移动管理(EMM)。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算