企业安全:谁构成了更大的威胁 员工或罪犯

ZDNet安全频道 原创翻译

作者：斯图尔特·伯恩斯

斯图尔特·伯恩斯指出，对企业数据进行安全保护只是整个安全策略的一个部分，很多情况下，不幸的是，真正的安全威胁，实际上可能存在于令人不安的家庭附近。

几乎每个星期都会发生大量数据丢失的事件，通常是笔记本电脑遗失在酒吧里而后磁盘失踪。根据最新的消息显示，在过去的十年里，政府各部门已经丢失了超过一千台笔记本电脑。

为了在家中工作，很多人通过USB设备将敏感的数据保存起来，以便回去使用。但在路上丢失的U盘和发向错误地址的电子邮件，让数据泄露变得的更加普遍。随着技术的发展，存储变得越来越便宜，但数据泄露导致的损失却是越来越大。

由PGP公司和赛门铁克赞助Ponemon研究室主持的一项调查显示，在被调查的二十一个英国企业中，从覆盖了八个不同的行业的2500条到125000条数据中，发现了各种各样的违规现象。

研究结果显示，平均每次违规导致四十七英镑的损失。而每次检测和升级的费用是十五英镑，记录加上事后响应也是十五英镑。也就是说，每次违规会导致十七英镑的业务亏损。而且还有通知客户的相关费用，平均下来大约每次一英镑。

正因为如此，我们不知道有多少公司的数据有违规现象的发生。而且，由于公司认为数据违规这样的事件会影响到客户的信心，所以他们不愿意，并且根据法律来说也不必披露相关的信息。

最好的例证就是零售商TK Maxx遭遇的事件。盗贼侵入了公司的无线网络，盗走了超过四千五百万条包括大量英国顾客在内的，二○○五到二○○七年的客户信用卡资料。

这导致不仅在英国，而且其美国母公司TJX也不得不按照隐私权交换的相关要求披露相关事件的实际情况。

即使数据违规现象被发现和处理，依然有一半的公司找不到事件的元凶。Computer Associates对四百八十二家大型企业的调查显示，百分之六十二的人拥有控制包括例如信用卡资料或健康记录在内的敏感受控数据的权限。而只有百分之三十二的对访问这些数据的用户被记录下来，并且只有百分之四十的人知道谁拥有访问这些数据的权限。

问题究竟出在那里？

导致数据违规的典型原因是什么呢？赛门铁克的研究结果显示，大约有三分之一是丢失了笔记本电脑和USB驱动器造成的，四分之一是纸面资料的原因。大部分情况下，这些事件是由于错误造成的，但并不能排除投机分子利用相关缺陷实施非法的行为。

Computer Associates的安全管理策略总监迈克尔认为，在导致数据损失的犯罪、滥用和错误等行为中，我们更关注犯罪造成的，但实际上滥用和错误造成的损失更大。HMRC就是一个最明显的例证。

超过两千五百万条儿童福利金的纪录在从英国皇家税务与海关总署到国家审计局的邮寄过程中丢失。这些保存在光盘中的数据不仅没有被加密，而且包含了相关儿童的姓名地址和社会安全号码。

但英国皇家税务与海关总署认为创建一个新的数据库过于昂贵，因此它希望找回包括七百万家长和监护人的银行帐户在内的详细资料的整个档案。尽管光盘的下落依然不明。

迈克尔说：“很多情况下，是由于错误导致了数据的损失。数据保护应该遵循只有有权限的人才能访问的原则，不幸的是，HRMC事件说明这个原则并没有被遵循。一般情况下，公司总是倾向于保存比他们需要的更多的数据。”

迈克尔警告道，来自内部的威胁也是应该注意的。人们倾向于获取机密资料，以便用来进行勒索或者作为负面信息发布出去。

甚至，由于受到日益发展的社会工程技术的蒙蔽，他们可能不知道给出的是机密数据。迈克尔说，“任何安全系统的关键都是人，而不是技术。电脑是按照人的要求执行相关的工作。”

赛门铁克的报告显示，通常情况下大部分的数据违规现象是偶然的，但恶意的比例也是在日益增长。百分之十二的数据违规现象与代码和黑客有关，存在某种形式的恶意意图。这些现象将不可避免地导致数据被滥用，会给公司造成极大的损失。

面临的威胁

在所有肆虐于以百万计的互联网上的个人电脑的所有的垃圾邮件和间谍软件中，有一种专门用来探测公司敏感信息的工具。与内部威胁不同的是他们采用暴力破译的手段，对数据进行窃取。

来自McAfee的安全分析师格雷戈认为，“大多数公司不知道它们将如何受到攻击；实际上，任何人都可以利用包括MPack在内久经考验并取得过成果的工具进行网络攻击。”

MPack可以说是一个恶意软件的工具箱，最早出现在二○○六年，现在有来自俄罗斯的作者进行更新和维护。它属于商业软件，可以提供技术支持。Day认为，“它有一个非常简单易用的界面，可以建立符合要求的欺诈性网站或者对现有的网站进行黑客攻击，发送网络钓鱼电子邮件的速度也非常快。”

MPack可以提供键盘记录器，还可以在使用者没有发现的情况下控制其机器。它非常简单，你不需要了解相关的专业知识。因此，对于安全人员来说，它具有相当大的威胁。

弱点

从来没有这么多的方式可以渗透进相关系统。常见的缺陷也轻易地被类似Milw0rm等下载网站上发现。有道德的黑客会披露相关的过程，以方便安全人员修改，这是一种负责任的行为。如果缺陷被发现的话，应用开发商应该在补丁准备好的时间向用户发布。

作为一名有道德的黑客，托尼Fogarty，目前是DNV的全球信息服务的一名首席IT顾问。他认为，“如果你想攻击一家公司，可以选择特定人士。找到他在LinkedIn上的帐户，然后通过电子邮件将一个伪造的网站或者可以打开的假文件发到他的机器上。”

来自商标保护事务所的数据显示，二○○七年发生了三十二万三千○七十九起经过报道的钓鱼式攻击，是二○○五年的四倍之多。而网络安全公司eSoft的报告则显示，对个人电脑进行控制的恶意软件的数量在一年之内也翻了一番。

因此，企业面临的已经不仅仅是来自内部的难以追查的威胁那么简单。很多时间，由于社会工程技术的发展，内部和外部的威胁正在结合起来。数据安全受到的威胁也越来越大。