安全厂商Imperva表示,随着企业数据通过各种渠道被访问,企业的数据泄漏也以文件形式出现,而不像以前是数据库记录内容的泄漏,受此影响的企业数量正在逐渐增加。
Imperva亚太区副总裁Stree Naidu近日在接受ZDNet Asia记者采访时表示,由于越来越多的敏感数据以非结构化内容的形式流失,黑客们将能够从中找到漏洞,并利用这些漏洞为自己的利益服务。
Naidu说:“虽然大部分业务应用程序采用如数据库这样的结构化存储方式保存和处理企业的敏感数据,但用户一般都喜欢将这些结构化的信息提取出来,使用后再以非结构化的方式存储内容。”
所谓的非结构化存储的数据包括存储在excel表格里的数据,电子幻灯片中的数据,甚至医学实验室所发给患者的检验结果报告等。但从隐秘走向公开的信息并不仅限于这几种形式。
这样的信息文件并不需要真的发送到互联网上才能成为威胁。正如前不久我们都知道的维基解密事件,机密的数据被过多的人访问,就算是拥有合法访问权限的人,也会出现风险。
因此,降低员工的访问权限,让他们仅能访问自己所需的内容,同时加强对敏感数据访问情况的监控,才能有效降低类似风险。
Naidu还表示,目前企业平均每年增加60%的数据量,更多的数据共享,以及某些数据保留策略,都加重了数据泄漏的安全风险。
而且,由于文件都拥有所谓的“自由主体”特性,导致这个问题更加难以解决,目前还没有哪种工具能够让企业控制这种包含敏感数据的零散文件。存储在数据库中的信息记录是由数据库软件控制和保护的,而零散建立和保存的普通文件则有可能因为拥有过度的访问权限,而导致其中包含的敏感信息被泄露出去。
基于云技术的软件,比如 Google Docs 和 Jive,以及内网文件管理系统,如微软的SharePoint或EMC的Documentum已经成为了企业IT的一部分,而这类软件也可能促使非结构化文件数据的产生,从而增加数据泄漏风险。
Naidu认为,去年维基解密事件向人们明确的展示了一个事实,即大范围的敏感信息的泄漏情况已经到了燃眉之急的程度。
Naidu还提到了另一个有名的文件泄漏事件。高盛投资公司的一个前雇员利用自己的台式机,将公司专用的高频交易程序代码发送到了位于德国的一台服务器上。由于注意到了大量数据从公司的服务器流出,公司最终发现了这个行为,并将该员工绳之以法。
考虑到这种情况,Naidu建议企业应该计划建立更高级的文件访问监控系统和管理工具,减少文件流失的风险。以下是Naidu给企业提供的有关建立监控系统的几条建议:
针对文件制定策略和执行方法,比针对原数据制定策略更好。
灵活部署监控系统,不要影响数据存储或网络架构。
针对访问量较大的文件进行自适应部署,不要影响对老文件中敏感数据的跟踪。
能够识别出文件的主人以及文件是否拥有过度访问权限。
不过Naidu同时也告诫企业,就算拥有了良好的监控和管理系统,也需要时刻小心,因为黑客窃取信息的手段是不断翻新的。他敦促企业提高流量监控的可视度,并建立跨越企业各层级的安全控制机制。他说:“安全控制应该能够了解黑客行业的技术变化,并快速将这种变化应用到企业安全防护系统中。另外最好还要能加入基于攻击声望的防护控制,防止大型的基于web的自动攻击。”
|