零售巨头塔吉特宣布1.1亿美国人受到其门店大规模数据泄露的影响,这一消息登上了头条。如果你想避免同样的命运,请注意Target被攻破后得到的这四个教训。
我们都很熟悉去年塔吉特支付卡被盗的事。到1.1亿个支付卡号码都是通过该公司网络上的一个巨大漏洞被盗的,甚至到了密码板的安全问题。的这次泄密让塔吉特首席信息官贝丝·雅各布斯丢了工作;这过去是,现在仍然是一个严重的问题。
Target显然是一家上市公司,所以这种情况引起了很多关注。然而,作为CIO或执行技术人员的一员,有一些关于这种情况的观察可以适用于您的公司。
以下是从塔吉特非常公开的数据泄露事件中得到的四个关键教训。
1.知道哪些警报可以安全地忽略是至关重要的
在这个相互联系的时代,安全漏洞比比皆是。不同的软件具有不同的风险概况,一些严重影响某些组织的漏洞在其他组织中已经通过组件的设置结构安全地减轻了。执行全面的威胁分析是至关重要的,但是了解如何管理事件日志、审计日志、供应商漏洞通知和入侵防御消息的冲击也同样重要。
一个最佳实践:开发一个标题,根据这个标题为关于安全漏洞和试图渗透的警报分配权重。根据您所从事的业务,您可以根据涉及的系统或警报的来源对其进行评分。一些考虑可能包括以下方面:
- 对于零售企业来说,支付系统的警报应该被给予明确的优先级。通常,这些支付系统是与其他网络隔离的,但是来自供应商的补丁警报、安全审计日志和活动监控应该高频率地进行,并特别注意这些结果中出现的异常。面对互联网的企业应始终确保防止欺诈的措施到位和确保购物车和电子商务软件已打补丁并被监控。
- 来自入侵检测系统或蜜罐的警报也应该被给予比其他警报更高的优先级。然而,可能有必要对阈值进行微调。一次性的尝试不应该引起警报,但是显示相似特征的重复尝试应该评估其一致性,然后将其提升到适当的技术审查和分析级别。
- 其他常见的软件漏洞,比如文件服务器和桌面软件漏洞,应该进行分类和分析,但应该归入技术堆栈中其他风险更大的部分。
创建一个判断结构,通过它可以评估警报和威胁消息,使信噪比尽可能高。通过这种方式,“红色警报”类型的消息会立即得到它们应该得到的关注,而“黄色警报”类型的消息则会以不那么紧急的速度进行分析。
2.游说首席信息官处理重大安全,责任责任
俗话说得好,责任必须在某个地方停止。与大多数技术事物一样,信息服务机构的负责人可能会受到指责。但首席信息官们肩负着比以往任何时候都多的责任,从保持计算机运行,到创建新的技术驱动的业务线,这实际上可以代表一个利润中心,再到与市场和管理层保持联系,以解开企业IT仓库中大量数据仓库中的秘密。
是的,安全是一个重要组成部分,但创建一个安全方案和实施最好通过组织是由一个专门的CISO——人的唯一工作就是监控企业的安全状况,然后小心翼翼地,故意提高它。CIO只是太匆忙,太分散,不能完全承担这个责任。
(分析:'AA !ciso必须在信息安全方面与董事会接触][也:企业漏洞赏金程序节省大笔资金,提高安全性]
目标说明了为什么。花了好几个星期才弄清裂缝的范围。(这实际上比平均水平要好;大多数严重的数据泄露需要数月才能发现)。根据多份报道,在媒体发现这一漏洞之前,他们甚至花了好几天的时间。正如我们所见,从向公众和媒体披露的信息来看,塔吉特似乎越来越多地发现了在袭击中丢失的数据。
你可以想象塔吉特公司在弄清发生了什么事、对其作出反应、防止情况恶化和启动应对计划方面的疯狂。责任止于雅各布斯,她的回答有些欠缺。很有可能她只是手头上的事情太多了。
另外,雇佣一个特定的安全主管会向组织的其他成员表明,安全是一件严肃的事情。拥有这样的职位通常给予首席信息官必要的自主权,以便采取正确的补救措施来加强安全。由于缺乏明确的沟通或无法使他人相信某些措施是必要的,必须通过一个不专门致力于安全的指挥系统进行工作,可能会拖延或甚至危及必要的技术改进。
3.事件响应计划是成功从数据泄露中恢复的关键
在发现漏洞后的几个小时和最初的几天里,通常只有一个优先事项:不惜一切代价修复漏洞。止血。
对于技术团队来说,这是一种很好的方法。然而,您组织中的其他人至少需要被激活,以开始计划一种让所有涉众都知道的沟通方法。看看塔吉特公司披露这一漏洞时多少有些随意的方式吧。针受损,或者只是支付卡号码?销泄露吗?加密的个人识别码泄露了吗?是任何东西泄露的?随着形势的发展,故事似乎发生了变化。这是一个不完整的危机沟通计划的症状。
【新闻:塔吉特,内曼·马库斯行政保卫安全实践]
我将注意到,然而,PIN pads和(也许)其他支付和销售点设备在我当地的目标地点被替换了在最初的入侵公告的几天内。这是一个优秀的技术响应计划的标志。
4.你的安全系统中最薄弱的地方是你没有考虑到的
塔吉特公司的入侵始于一个暖通空调承包商进入了塔吉特公司防火墙的脆弱部分的无线网络。这一切的开始是因为像恒温器这样无害的东西没有正常工作。
黑客和黑客都很老练;在这个层面上,他们是在玩一场长期游戏来锁定有利可图的高价值目标。他们认为你没注意到他们在看的地方。
作为CIO,你的工作是指导你的团队做好所有准备——程序上的、技术上的和其他方面的。提供领导能力和精神气质,使这种警惕的、深思熟虑的安全成为优先事项。
乔纳森•哈塞尔(Jonathan Hassell)经营着总部位于夏洛特的咨询公司82 Ventures。他也是Apress Media LLC的一名编辑电子邮件和推特.在Twitter上关注CIO.com的所有内容@CIOonline,脸谱网,Google +和LinkedIn.
阅读更多关于数据泄露的内容在CIO的数据泄露中钻下来。
这个故事“cio可以从目标突破中学到的4个教训”最初发表于首席信息官 .