电子间谍就在你身边
- 来源:计算机世界
- 关键字:电子间谍
- 发布时间:2010-08-11 15:17
7月25 日,“ 维基泄密”网站公开了数万份有关阿富汗战场的机密文件。这些原本不应该曝光的文件给五角大楼带来巨大冲击,也将美国政府带到了风口浪尖。目前,关于这次泄密事件究竟如何发生的美国军方还在调查之中,而对普通的企业而言,从中可以吸取的教训就是在网络时代要高度重视信息安全。
事实上,企业如果不加防范,很有可能在某个时候会发现被自己视为敏感的信息已到了别人手中,而自己根本就毫不知情。这些信息或者是公司正在(或已经)研发的某个畅销产品的设计图或者饮料配方,或者就是公司马上就要开始执行的一个市场计划。不管具体是什么,反正是不希望被其他公司特别是竞争对手知道,否则就可能危及公司的竞争优势甚至影响到公司的生存。如今每个公司或多或少都有这样的资料,特别是对那些创新型的公司而言,它们的竞争优势高度依赖创新,这些资料被盗对公司的影响是不言而喻的。过去,这些信息都以图纸、文件、资料等实体形式存在,如今它们都已经数字化了。
而在那些高明的黑客或者电子间谍看来,数字化的资料比实体更容易窃取。
业内人士提醒,这样的窃贼——电子间谍的确存在,而且正在成为一个庞大的地下产业。
这些电子间谍出于各种目的,可能是政治的也可能是经济的,采用各种技术手段非法进入原本不该进入的网络,获取自己所要的数据或资料。
业内人士认为,电子间谍已经成为现代企业面临的一个新的安全威胁,而且是一种比你想象的更常见的间谍形式。作为一个IT 管理人员或安全负责人,判断自己的组织是否正在遭受这种隐形的攻击,并采取适当的技术手段和组织必要人员对此进行防护是当务之急。否则,很可能有一天会给组织带来重大损失。
虽然电子间谍的行为是悄无声息的,然而它的威胁是真实的和严重的。那么,到底谁在从事这类间谍行为、这些电子间谍在寻找什么、我们如何保护自己的?
难以对付的电子间谍
业内观察人士说,电子间谍活动越来越普遍、越来越常见。
Gartner负责计算机安全领域研究的副总裁Neil MacDonald 坚持认为, 多达75% 的企业的IT系统已经或正在被电子间谍攻击却未被发现,这些间谍行为或者出于经济原因或者出于政治目的,都成功地绕过企业所部署的各种安全防御系统,进入公司网络中。
“任何有敏感信息的政府或商业组织都可能成为他们的攻击目标。” MacDonald 说。
也有人认为这种类型的攻击很难识别和追踪,因此很难说这类攻击究竟有多常见。
“虽然我们知道这是一个严重的问题,但是这类攻击行为的秘密性使得我们无法知道这类行为到底有多普遍。”安全咨询顾问公司Cryptography Research的首席科学家Paul Kocher 说,间谍们认为被受害人发现是他们的巨大失败,而我们所能知道的也只有那些已被发现的攻击行为。
“因为所有电子间谍的行为都是偷偷摸摸进行的,所以我们确实是没有办法知道这类攻击的规模和范围。”普华永道首席咨询顾问Mark Lobel 说。但是,也不要让电子间谍“偷偷摸摸”的特点蒙骗了你,他补充说,“在与业界人士的交流中,我们发现,电子间谍已经是一个大问题,而且比大多数人所想象的要严重得多。”
安全专家认为,越来越多的公司正在被电子间谍盯上,其中有些是来自竞争对手,有些来自一些政治组织,而要应对他们的攻击却并不容易。让这个问题非常棘手的一个重要原因是,这些电子间谍所使用的技术手段常常是一般的安全工具所无法检测到的。电子间谍也许根本不用对系统造成任何破坏就能进入系统内部,正因为如此,他们可以在系统中待相当长的一段时间以收集他们需要的资料。
这类目标明确的威胁要比那些漫无目标的攻击难以应对的另一个原因在于,这些威胁未引起安全厂商的普遍重视,厂商们也没有进行长期的研究。通常,市场的安全软件和其他安全工具都只能检测出已知的攻击,而这类攻击安全厂商根本就不了解,它们的安全软件和工具自然也就无法区分这些攻击。而且,对这些针对某一特定目标的攻击,电子间谍们完全可以精心设计以绕过现有的各种安全防范手段。另外,那些发起电子间谍攻击的人也会竭尽全力防止被攻击目标发现他们的攻击行为。
谁在从事间谍行为?
电子间谍问题很棘手的原因除了它“偷偷摸摸”外,还在于我们常常无法发现它的真正源头。即使在电子间谍活动被我们发现后,我们通常也不可能知道攻击的真正来源,特别在涉及政治目的、是有组织的行为时。例如,我们通过IP 地址跟踪的攻击行为,很可能会发现这些行为来自一台被入侵的计算机,由于这台被控制的计算机充当了代理或中继的角色,使得真正的罪魁祸首得以逍遥法外。
而且,今天大多数安全厂商识别病毒要基于事先建好的病毒特征库,这就是说,这种方法只能检测出我们已知的病毒,而对于一种全新的病毒或者某个病毒的变种却是无能为力的。旧金山市的企业调查员Brandon Gregg 说,对于那些资金充足、技术力量也有保障的组织,开发出更为专业的代码或者利用其他的零日攻击来发起攻击并不是什么难事,这些代码或者攻击手段是安全厂商事先不知道的,当然不会有记录。Brandon Gregg 计划在今年秋季开设一个有关电子间谍活动的培训课程。
另外,政治也是引发电子间谍活动的重要原因,这使得应对它显得更为困难和复杂。“政治是引发电子间谍活动的原因之一,但从我所看到的资料以及听说的信息,相比较而言,出于经济原因的攻击占多数。”
云安全联盟的联合创始人、在线游戏Zynga 公司的CSO NilsPuhlmann 说,虽然Puhlmann 没有提供更详细的资料,但他表示,源自很多国家的电子间谍行为其实也并不一定是在该国默许和支持下发起的。
而网上可以随意下载的黑客工具更加剧了这个问题的复杂程度,类似黑客论坛这样的网站就提供有很多远程访问工具,允许不怀好意者只要很简单的几个步骤就可以完全控制一台计算机,而且能在计算机使用者毫不知情的情况下看到他的所有操作。
电子间谍如何进入系统?
电子间谍们最常用的一个手段是搜寻目标网络的弱点,然后以此为突破口实现其目标:通常是窃取资料或进入某个账户。比如,一些公司的特殊用户可能收到一些精心设计的、看似来自一个可信的组织或者个人的邮件,引诱他打开邮件附件,当这个用户点击附件时,间谍软件和恶意软件就被安装在自己的电脑中了,这种欺骗方法是网络钓鱼的升级版,称为鱼叉式网络钓鱼(Spear Phishing)。
攻击者也可能利用一些可以从企业网外部进入企业网络的系统或者应用的安全漏洞和配置弱点,以获得用户的身份信息或建立一个监控点。另外,攻击者还可以利用公开的或未公开的技术漏洞,或者直接通过贿赂等手段以达到获取敏感信息的目的。
在这些有针对性的攻击中,电子间谍通常会同时利用多个系统或应用程序级的漏洞。一旦某一个系统或账户被攻破,那么,基本上可以说整个IT 系统就会被黑客攻破,直至攻击的最终目标实现。
而且,攻击者常常会在某些特殊的地方或者系统(如日志服务器)上安装监控软件,而传统的IT 安全方法和手段通常不会关注到这些地方。这种监控软件会收集数据,并采用一些技术手段(如以FTP 的方式)把这些数据发送给黑客,这些软件还会把这些数据分成一个个小文件,单独发送出去,所以一般也不会引发网络流量的大幅变化,从而不会引起人们注意。
值得一提的是,有时攻击者无需攻破网络而只需要借助公开的信息,然后通过信息之间的关联获得想要的东西。因为虽然有些发布在互联网上的信息本身并不是敏感信息,但如果与互联网上发布的其他数据(这些信息可能是本公司发布的也可能是其他公司发布的)结合起来,就有可能由此推测出一些比较敏感的信息。
“黑客完全可以把那些看似不敏感的信息组合在一起,从中推断出比较敏感的信息来。”普华永道的Lobel 解释说。
电子间谍的目标
也许有很多人认为自己的公司不可能成为电子间谍的目标。
事实证明,很多时候这种想法是错误的,而公司也会为这种想法付出代价。Kocher 说, 虽然军事系统及政府部门一直是间谍们的主要目标,但是那些为这些组织提供服务的公司的IT 系统中也有很多非常有吸引力的信息,而且只要攻破一个系统往往能获得很多信息,因而也极易成为网络间谍攻击的目标。例如,这些公司的Web 邮箱服务、电话网络、托运人的数据库以及社交网站都很可能成为被间谍们攻击的目标。
在白宫的国家安全和国土安全委员会担任高级职位的GoodHarbor 咨询公司首席运营官、同时也是著名的网络安全专家和国土安全专家Paul Kurtz 表示,任何具有先进的知识产权或者拥有极其敏感的研究和开发数据的公司都是间谍们感兴趣的目标。
“电子间谍们也会研究数据的生产链以获取更多的敏感数据,因此,只要这些组织涉及敏感数据,都应该对间谍活动进行监控,无论这个组织是政府部门还是私营公司或团体。”PaulKurtz 说。
面临哪些风险?
如果公司根本就不关心也不检查是否有电子间谍入侵你的企业,哪会给公司带来什么风险?答案相当多。
“最糟糕的情况是竞争优势的丧失。”普华永道的Lobel 说。例如,一些电子间谍窃取公司应该受到保护的知识产权后可能将其出售给公司主要的竞争对手。这可以使竞争对手无需投入大笔研究经费和开发成本以及时间成本,就可以坐享这些成果,或者至少让竞争对手预先了解公司的产品从而做出有针对性的应对方案。
Kurtz 说,私营企业的损失可能更大一些,一方面是它们得到来自政府等有关部门的帮助较少,同时,这些公司相对比较弱小,一旦知识产权被窃取,对其市场份额、投资者对它们的信心都会有较大的冲击,最终会削弱它们在市场上的竞争能力。
另外,对公司而言,不仅需要考虑知识产权被窃以后带来的经济损失,还要考虑到一旦用户个人信息被窃后,公众将对公司失去信心而给公司形象带来的影响。2007 年零售商TJMaxx 公司IT 系统的安全漏洞被利用,导致数百万计的信用卡客户资料被盗。“这种事件对公司来说就是一个公关的恶梦。”企业调查员Gregg 说。
如何阻止电子间谍?
要完全阻止来自各种日益专业的黑客组织的攻击几乎是不可能的,特别是如果攻击来自其他有政府背景的某个组织时尤其如此,因为此时的攻击者拥有一般黑客组织所没有的资源。不过,也不要悲观,我们可以采取一些步骤来尽可能减少这种攻击成功的可能性,或降低攻击成功后可能造成的损害。
许多专家认为一项非常有用的战略就是实行“纵深防御”。由于具有多重的防护,某一层或者几层的防护失败不会导致整个系统被攻破。这一战略不仅包括部署最新的技术,而且还包括教育员工,比如告诉他们可能存在的风险以及向他们展示如何才能够帮助防止间谍事件的发生。
如果条件允许,可以考虑聘请专业人士,他们在发现和防范电子间谍进入企业网络以及如何阻止电子间谍进入等方面更有办法。
Gartner的MacDonald建议,公司必须坚持一些基本的安全原则。例如,对各种系统补丁和升级制定严格的管理制度,建立和跟踪配置管理标准,培训用户防止黑客采用一些非技术的手段(如社会工程学的方法)窃取系统的密码。
由于大多数的攻击是通过电子邮件和网络来进行的,因此,强化公司的电子邮件系统和Web 安全网关功能是一个不错的主意,最好能升级到那些能提供多重保护功能的新一代安全保护平台。
此外,整个企业的安全防范也应该从病毒防范和反间谍软件升级到端点保护,端点平台能提供多重防护功能,它集防病毒、防垃圾邮件的入侵、防火墙、基于主机的预防系统等于一个统一的管理控制台中。
“如果你的企业可能会因为电子间谍或者黑客的行为受到损害,那就要赶紧采取措施增强企业的防护能力,比如对应用系统、网络和交易行为等进行更严格的监控,看是否有任何异常的行为。” MacDonald 说,“目前大多数安全事件和信息管理产品都已经加入了这方面的功能。”
从事密码学研究的Kocher说,最可靠的防御手段是运行一个较小的、物理隔离的网络,因为随着网络的扩展,网络被恶意攻击的可能性就会增加。“在我的公司,我们管理一个相对独立的网络环境,这里的个人电脑、网线和打印机都和互联网隔离了。”他说,虽然,员工们有自己的笔记本电脑可以用来收电子邮件、进行Web 浏览,但这些笔记本电脑中没有非常敏感的数据,而含有关键数据的系统绝对不允许以任何方式接入到互联网。
Kocher 解释说, 虽然这种办法导致双倍的硬件成本,而且也会带来很多不便,但是,要确保数据安全,这几乎是唯一的途径。
另外,市场上最近几年来出现了一些新的、功能更强大的安全工具,如网络取证产品(network forensic)可以帮助我们识别电子间谍的威胁,交互式的威胁分析工具NetWitnessInvestigator 可以对原始的网络数据进行各种形式的上下文分析。
Gregg介绍说,这些工具并不是真正检查是否存在恶意代码,而是对网络流量模式进行分析,如果发现网络流量异常,特别是这种异常与网络黑客潜伏在网络中盗取数据时的表现一致,它们就会报警。如果发现有身份信息、信用卡或其他敏感文件类型从网络中流出,这类系统不仅能向用户发出警告,还能帮助识别和跟踪数据到底流向哪里了。
如果公司拥有足够的资金支持,还有这方面的专业人才,可以考虑开发自己的专用工具,以帮助应对这类黑客行为。不少专家认为,用户自己开发这类系统将变得越来越普遍,因为不少公司发现现有的软件不能满足它们的需要。比如,有的公司有自己特殊的数据资料、这些数据有着特殊的流动方式以及其他特殊的需求,可能面临着一些特殊的威胁。由于这些威胁通常是专门针对某些公司某类信息的,因此这些公司的防御手段也需要有别于常规,需要专门定制。
……
事实上,企业如果不加防范,很有可能在某个时候会发现被自己视为敏感的信息已到了别人手中,而自己根本就毫不知情。这些信息或者是公司正在(或已经)研发的某个畅销产品的设计图或者饮料配方,或者就是公司马上就要开始执行的一个市场计划。不管具体是什么,反正是不希望被其他公司特别是竞争对手知道,否则就可能危及公司的竞争优势甚至影响到公司的生存。如今每个公司或多或少都有这样的资料,特别是对那些创新型的公司而言,它们的竞争优势高度依赖创新,这些资料被盗对公司的影响是不言而喻的。过去,这些信息都以图纸、文件、资料等实体形式存在,如今它们都已经数字化了。
而在那些高明的黑客或者电子间谍看来,数字化的资料比实体更容易窃取。
业内人士提醒,这样的窃贼——电子间谍的确存在,而且正在成为一个庞大的地下产业。
这些电子间谍出于各种目的,可能是政治的也可能是经济的,采用各种技术手段非法进入原本不该进入的网络,获取自己所要的数据或资料。
业内人士认为,电子间谍已经成为现代企业面临的一个新的安全威胁,而且是一种比你想象的更常见的间谍形式。作为一个IT 管理人员或安全负责人,判断自己的组织是否正在遭受这种隐形的攻击,并采取适当的技术手段和组织必要人员对此进行防护是当务之急。否则,很可能有一天会给组织带来重大损失。
虽然电子间谍的行为是悄无声息的,然而它的威胁是真实的和严重的。那么,到底谁在从事这类间谍行为、这些电子间谍在寻找什么、我们如何保护自己的?
难以对付的电子间谍
业内观察人士说,电子间谍活动越来越普遍、越来越常见。
Gartner负责计算机安全领域研究的副总裁Neil MacDonald 坚持认为, 多达75% 的企业的IT系统已经或正在被电子间谍攻击却未被发现,这些间谍行为或者出于经济原因或者出于政治目的,都成功地绕过企业所部署的各种安全防御系统,进入公司网络中。
“任何有敏感信息的政府或商业组织都可能成为他们的攻击目标。” MacDonald 说。
也有人认为这种类型的攻击很难识别和追踪,因此很难说这类攻击究竟有多常见。
“虽然我们知道这是一个严重的问题,但是这类攻击行为的秘密性使得我们无法知道这类行为到底有多普遍。”安全咨询顾问公司Cryptography Research的首席科学家Paul Kocher 说,间谍们认为被受害人发现是他们的巨大失败,而我们所能知道的也只有那些已被发现的攻击行为。
“因为所有电子间谍的行为都是偷偷摸摸进行的,所以我们确实是没有办法知道这类攻击的规模和范围。”普华永道首席咨询顾问Mark Lobel 说。但是,也不要让电子间谍“偷偷摸摸”的特点蒙骗了你,他补充说,“在与业界人士的交流中,我们发现,电子间谍已经是一个大问题,而且比大多数人所想象的要严重得多。”
安全专家认为,越来越多的公司正在被电子间谍盯上,其中有些是来自竞争对手,有些来自一些政治组织,而要应对他们的攻击却并不容易。让这个问题非常棘手的一个重要原因是,这些电子间谍所使用的技术手段常常是一般的安全工具所无法检测到的。电子间谍也许根本不用对系统造成任何破坏就能进入系统内部,正因为如此,他们可以在系统中待相当长的一段时间以收集他们需要的资料。
这类目标明确的威胁要比那些漫无目标的攻击难以应对的另一个原因在于,这些威胁未引起安全厂商的普遍重视,厂商们也没有进行长期的研究。通常,市场的安全软件和其他安全工具都只能检测出已知的攻击,而这类攻击安全厂商根本就不了解,它们的安全软件和工具自然也就无法区分这些攻击。而且,对这些针对某一特定目标的攻击,电子间谍们完全可以精心设计以绕过现有的各种安全防范手段。另外,那些发起电子间谍攻击的人也会竭尽全力防止被攻击目标发现他们的攻击行为。
谁在从事间谍行为?
电子间谍问题很棘手的原因除了它“偷偷摸摸”外,还在于我们常常无法发现它的真正源头。即使在电子间谍活动被我们发现后,我们通常也不可能知道攻击的真正来源,特别在涉及政治目的、是有组织的行为时。例如,我们通过IP 地址跟踪的攻击行为,很可能会发现这些行为来自一台被入侵的计算机,由于这台被控制的计算机充当了代理或中继的角色,使得真正的罪魁祸首得以逍遥法外。
而且,今天大多数安全厂商识别病毒要基于事先建好的病毒特征库,这就是说,这种方法只能检测出我们已知的病毒,而对于一种全新的病毒或者某个病毒的变种却是无能为力的。旧金山市的企业调查员Brandon Gregg 说,对于那些资金充足、技术力量也有保障的组织,开发出更为专业的代码或者利用其他的零日攻击来发起攻击并不是什么难事,这些代码或者攻击手段是安全厂商事先不知道的,当然不会有记录。Brandon Gregg 计划在今年秋季开设一个有关电子间谍活动的培训课程。
另外,政治也是引发电子间谍活动的重要原因,这使得应对它显得更为困难和复杂。“政治是引发电子间谍活动的原因之一,但从我所看到的资料以及听说的信息,相比较而言,出于经济原因的攻击占多数。”
云安全联盟的联合创始人、在线游戏Zynga 公司的CSO NilsPuhlmann 说,虽然Puhlmann 没有提供更详细的资料,但他表示,源自很多国家的电子间谍行为其实也并不一定是在该国默许和支持下发起的。
而网上可以随意下载的黑客工具更加剧了这个问题的复杂程度,类似黑客论坛这样的网站就提供有很多远程访问工具,允许不怀好意者只要很简单的几个步骤就可以完全控制一台计算机,而且能在计算机使用者毫不知情的情况下看到他的所有操作。
电子间谍如何进入系统?
电子间谍们最常用的一个手段是搜寻目标网络的弱点,然后以此为突破口实现其目标:通常是窃取资料或进入某个账户。比如,一些公司的特殊用户可能收到一些精心设计的、看似来自一个可信的组织或者个人的邮件,引诱他打开邮件附件,当这个用户点击附件时,间谍软件和恶意软件就被安装在自己的电脑中了,这种欺骗方法是网络钓鱼的升级版,称为鱼叉式网络钓鱼(Spear Phishing)。
攻击者也可能利用一些可以从企业网外部进入企业网络的系统或者应用的安全漏洞和配置弱点,以获得用户的身份信息或建立一个监控点。另外,攻击者还可以利用公开的或未公开的技术漏洞,或者直接通过贿赂等手段以达到获取敏感信息的目的。
在这些有针对性的攻击中,电子间谍通常会同时利用多个系统或应用程序级的漏洞。一旦某一个系统或账户被攻破,那么,基本上可以说整个IT 系统就会被黑客攻破,直至攻击的最终目标实现。
而且,攻击者常常会在某些特殊的地方或者系统(如日志服务器)上安装监控软件,而传统的IT 安全方法和手段通常不会关注到这些地方。这种监控软件会收集数据,并采用一些技术手段(如以FTP 的方式)把这些数据发送给黑客,这些软件还会把这些数据分成一个个小文件,单独发送出去,所以一般也不会引发网络流量的大幅变化,从而不会引起人们注意。
值得一提的是,有时攻击者无需攻破网络而只需要借助公开的信息,然后通过信息之间的关联获得想要的东西。因为虽然有些发布在互联网上的信息本身并不是敏感信息,但如果与互联网上发布的其他数据(这些信息可能是本公司发布的也可能是其他公司发布的)结合起来,就有可能由此推测出一些比较敏感的信息。
“黑客完全可以把那些看似不敏感的信息组合在一起,从中推断出比较敏感的信息来。”普华永道的Lobel 解释说。
电子间谍的目标
也许有很多人认为自己的公司不可能成为电子间谍的目标。
事实证明,很多时候这种想法是错误的,而公司也会为这种想法付出代价。Kocher 说, 虽然军事系统及政府部门一直是间谍们的主要目标,但是那些为这些组织提供服务的公司的IT 系统中也有很多非常有吸引力的信息,而且只要攻破一个系统往往能获得很多信息,因而也极易成为网络间谍攻击的目标。例如,这些公司的Web 邮箱服务、电话网络、托运人的数据库以及社交网站都很可能成为被间谍们攻击的目标。
在白宫的国家安全和国土安全委员会担任高级职位的GoodHarbor 咨询公司首席运营官、同时也是著名的网络安全专家和国土安全专家Paul Kurtz 表示,任何具有先进的知识产权或者拥有极其敏感的研究和开发数据的公司都是间谍们感兴趣的目标。
“电子间谍们也会研究数据的生产链以获取更多的敏感数据,因此,只要这些组织涉及敏感数据,都应该对间谍活动进行监控,无论这个组织是政府部门还是私营公司或团体。”PaulKurtz 说。
面临哪些风险?
如果公司根本就不关心也不检查是否有电子间谍入侵你的企业,哪会给公司带来什么风险?答案相当多。
“最糟糕的情况是竞争优势的丧失。”普华永道的Lobel 说。例如,一些电子间谍窃取公司应该受到保护的知识产权后可能将其出售给公司主要的竞争对手。这可以使竞争对手无需投入大笔研究经费和开发成本以及时间成本,就可以坐享这些成果,或者至少让竞争对手预先了解公司的产品从而做出有针对性的应对方案。
Kurtz 说,私营企业的损失可能更大一些,一方面是它们得到来自政府等有关部门的帮助较少,同时,这些公司相对比较弱小,一旦知识产权被窃取,对其市场份额、投资者对它们的信心都会有较大的冲击,最终会削弱它们在市场上的竞争能力。
另外,对公司而言,不仅需要考虑知识产权被窃以后带来的经济损失,还要考虑到一旦用户个人信息被窃后,公众将对公司失去信心而给公司形象带来的影响。2007 年零售商TJMaxx 公司IT 系统的安全漏洞被利用,导致数百万计的信用卡客户资料被盗。“这种事件对公司来说就是一个公关的恶梦。”企业调查员Gregg 说。
如何阻止电子间谍?
要完全阻止来自各种日益专业的黑客组织的攻击几乎是不可能的,特别是如果攻击来自其他有政府背景的某个组织时尤其如此,因为此时的攻击者拥有一般黑客组织所没有的资源。不过,也不要悲观,我们可以采取一些步骤来尽可能减少这种攻击成功的可能性,或降低攻击成功后可能造成的损害。
许多专家认为一项非常有用的战略就是实行“纵深防御”。由于具有多重的防护,某一层或者几层的防护失败不会导致整个系统被攻破。这一战略不仅包括部署最新的技术,而且还包括教育员工,比如告诉他们可能存在的风险以及向他们展示如何才能够帮助防止间谍事件的发生。
如果条件允许,可以考虑聘请专业人士,他们在发现和防范电子间谍进入企业网络以及如何阻止电子间谍进入等方面更有办法。
Gartner的MacDonald建议,公司必须坚持一些基本的安全原则。例如,对各种系统补丁和升级制定严格的管理制度,建立和跟踪配置管理标准,培训用户防止黑客采用一些非技术的手段(如社会工程学的方法)窃取系统的密码。
由于大多数的攻击是通过电子邮件和网络来进行的,因此,强化公司的电子邮件系统和Web 安全网关功能是一个不错的主意,最好能升级到那些能提供多重保护功能的新一代安全保护平台。
此外,整个企业的安全防范也应该从病毒防范和反间谍软件升级到端点保护,端点平台能提供多重防护功能,它集防病毒、防垃圾邮件的入侵、防火墙、基于主机的预防系统等于一个统一的管理控制台中。
“如果你的企业可能会因为电子间谍或者黑客的行为受到损害,那就要赶紧采取措施增强企业的防护能力,比如对应用系统、网络和交易行为等进行更严格的监控,看是否有任何异常的行为。” MacDonald 说,“目前大多数安全事件和信息管理产品都已经加入了这方面的功能。”
从事密码学研究的Kocher说,最可靠的防御手段是运行一个较小的、物理隔离的网络,因为随着网络的扩展,网络被恶意攻击的可能性就会增加。“在我的公司,我们管理一个相对独立的网络环境,这里的个人电脑、网线和打印机都和互联网隔离了。”他说,虽然,员工们有自己的笔记本电脑可以用来收电子邮件、进行Web 浏览,但这些笔记本电脑中没有非常敏感的数据,而含有关键数据的系统绝对不允许以任何方式接入到互联网。
Kocher 解释说, 虽然这种办法导致双倍的硬件成本,而且也会带来很多不便,但是,要确保数据安全,这几乎是唯一的途径。
另外,市场上最近几年来出现了一些新的、功能更强大的安全工具,如网络取证产品(network forensic)可以帮助我们识别电子间谍的威胁,交互式的威胁分析工具NetWitnessInvestigator 可以对原始的网络数据进行各种形式的上下文分析。
Gregg介绍说,这些工具并不是真正检查是否存在恶意代码,而是对网络流量模式进行分析,如果发现网络流量异常,特别是这种异常与网络黑客潜伏在网络中盗取数据时的表现一致,它们就会报警。如果发现有身份信息、信用卡或其他敏感文件类型从网络中流出,这类系统不仅能向用户发出警告,还能帮助识别和跟踪数据到底流向哪里了。
如果公司拥有足够的资金支持,还有这方面的专业人才,可以考虑开发自己的专用工具,以帮助应对这类黑客行为。不少专家认为,用户自己开发这类系统将变得越来越普遍,因为不少公司发现现有的软件不能满足它们的需要。比如,有的公司有自己特殊的数据资料、这些数据有着特殊的流动方式以及其他特殊的需求,可能面临着一些特殊的威胁。由于这些威胁通常是专门针对某些公司某类信息的,因此这些公司的防御手段也需要有别于常规,需要专门定制。
关注读览天下微信,
100万篇深度好文,
等你来看……