零售巨头塔吉特(Target)宣布1.1亿美国人受到其门店大规模数据泄露的影响,成为头条新闻。如果你想避免同样的命运,请注意从Target事件中吸取的四个教训。
我们都熟悉去年年底的目标支付卡泄露。取决于1.1亿支付卡号码都是通过公司网络的一个巨大漏洞盗取的,甚至连密码板的安全都没有。的违规成本目标cio beth jacobs她的工作;它仍然是一个严重的问题。
目标显然是一家公共公司,所以这种情况得到了很多关注。但是,作为执行技术人员的CIO或成员,有关适用于您公司的情况的一些意见。
从塔吉特公司(Target)公开的数据泄露事件中,我们可以总结出四点重要教训。
1.重要的是要知道哪些警报你可以安全地忽略
在这个连接的年龄中,安全漏洞是一个十几个。不同的软件具有不同的风险配置文件,并且仅通过组件的结构,在其他组织中严重缓解了某些组织的一些漏洞。执行彻底的威胁分析至关重要,但了解如何管理事件日志的漏电,审计日志,供应商漏洞通知和入侵防护消息与其一样重要。
[专家:面对不断演变的威胁,首席信息官必须关注适应性安全系统]
一个最佳实践:开发一个标准,通过该标题,重量被分配给警报安全漏洞和尝试渗透。根据您所在的业务,您可以通过涉及的系统或通过警报源进行评分。一些考虑因素可能包括以下内容:
- 对于零售业务,支付系统的警报应该有明确的优先级。通常情况下,这些支付系统与其他网络是隔离的,但来自供应商的补丁警报、安全审计日志和活动监控应该以较高的频率进行,特别注意出现在这些结果中的异常情况。面对互联网的企业应该始终确保欺诈预防措施到位并确保购物车和电子商务软件被修补并监控。
- 来自您的入侵检测系统或蜜罐的警报也应该给予比其他警报更高的优先级。然而,可能有必要对阈值进行微调。一次性尝试不应引起警报,但应评估显示相似特征的重复尝试的一致性,然后将其提升到适当的水平,以便进行技术审查和分析。
- 其他常见的软件漏洞,如文件服务器和桌面软件中的漏洞,应该进行分类和分析,但应该低于技术堆栈中的其他风险更大的部分。
创建一个判断结构,通过它可以评估警报和威胁信息,从而使信噪比尽可能高。这样,“红色警报”消息就能立即得到它们应得的关注,而“黄色警报”类型的消息则会以较不紧迫的速度进行分析。
2.游说CISO处理重大安全、责任和责任
俗话说,责任总有止的地方。和大多数技术一样,信息服务机构的负责人很可能会受到指责。但首席信息官肩负着比以往更多的责任领域,从保持计算机运行,到创建新的技术驱动的业务线(实际上可以代表一个利润中心),再到与市场和高管团队联系,以解开公司IT仓库中海量数据仓库中的秘密。
是的,安全性是所有这一切的重要组成部分,但通过组织创建安全方案并通过组织实施它是最好的,它真正由专门的CISO完成 - 唯一工作是监控企业的安全姿势,然后仔细和刻意增强随着时间的推移。一个CIO简单地太匆忙,蔓延得太薄,完全处理这一责任。
[ 分析:A'AA!Cisos必须聘请董事会关于信息安全][ 还:企业漏洞赏金程序带来大的节省,更好的安全性]
目标表明为什么。花了几个星期的时间才能到达违规程度的底部。(这实际上比平均水平更好;大多数严重的数据泄露需要数月的时间)。据多份报道称,在媒体发现之前,他们甚至花了几天时间才发现漏洞。正如我们所看到的,从向公众和媒体披露的信息来看,塔吉特公司似乎越来越多地发现了在袭击中究竟丢失了哪些数据。
您可以想象到到达发生的事情的目标中的狂热,对其做出反应,防止情况恶化和激活响应计划。降压停止了雅各布,她的反应留下了一些想要的。这是一个真正可能性,她在她的盘子上只是太多了。
此外,聘请特定的安全头显示了保安是严肃的业务的其余组织。拥有这样的位置通常会使CISO成为建立合适的补救措施以提高安全性所需的自主权。由于缺乏明确的沟通或无法说服其他措施,因此必须通过一系列不致力于安全性的命令延迟甚至危及必要的技术改进。
3.事件响应计划重点恢复数据漏洞
在发现违规后的时间和最初几天的时间里,通常只有一个优先权:解决违规行为。停止出血。
这是技术团队的精细方法。但是,您组织中的其他人必须至少被激活,开始规划一项通信方法,使所有利益相关者通知。目睹了目标披露违约的偶然的方式。别针妥协,或者只是支付卡号码?销泄露吗?加密的密码泄露了吗?是任何东西泄露的?随着形势的发展,故事似乎发生了变化。这是一个不完整的危机沟通计划的症状。
[ 消息:塔吉特,内曼马库斯高管捍卫安全措施]
但是,我会注意到,PIN垫和(也许)其他付款和销售点设备在我当地的目标地点,在初始违约公告的几天内被取代。这是一个优秀的技术响应计划的标志。
4.你的安全系统中最薄弱的部分是你没有考虑到的
塔吉特公司的入侵始于一家暖通空调承包商访问塔吉特公司防火墙易受攻击一侧的无线网络。这一切都是因为像恒温器这样无害的东西没有正常运转。
黑客和饼干是复杂的;在这个层面上,他们正在打一场持久战,以锁定利润丰厚、高价值的目标。他们在看你没看的地方。
作为首席信息官,你的工作是指导你的团队做好所有准备——程序上的、技术上的和其他方面的。提供领导和精神,使这种警惕的,深思熟虑的安全优先。
乔纳森·哈塞尔(Jonathan Hassell)在夏洛特市经营着一家名为82 Ventures的咨询公司。他也是Apress Media LLC的编辑,请通过电子邮件和上推特.在Twitter上关注CIO.com上的一切@CIOonline那脸谱网那谷歌+和linkedin.
阅读更多关于数据泄露的信息在CIO的数据泄露钻取。
这个故事,“4课CIO可以从目标违规中学习”最初发表首席信息官 .