史蒂夫·贝洛文(Steve Bellovin)和杰里科论坛(Jericho Forum)等提出的新的信息保护手段必须部署起来,以补充外围企业防御。
多年来,随着企业越来越多地向外部业务伙伴开放他们的网络和数据中心雷竞技电脑网站可移动的员工们,专家们一直声称周边已经死亡。至少,边界上有足够多的洞,限制数据从奶油中心泄漏从端点和涌出数据库和文件共享。
本文是《安全趋势观察》特刊的一部分,以PDF格式出版。现在下载。
当然,这个行业仍然受到这方面最臭名昭著的例子的刺痛,那就是TJX公司案例.去年8月,一项正在进行的特勤局调查导致一个由11名袭击者组成的团伙被起诉,这些袭击者也曾进入其他6家品牌零售商的交易处理系统——其中一些人是自2004年以来就隐藏起来的。结果,犯罪分子泄露了近4500万个信用卡和借记卡账户。
除了那些试图从偷来的信用卡号码中获利的坏蛋之外,这个漏洞更需要保护:它需要保护那些在家里做额外工作,却不经意间通过网络发送受限内容的工作狂员工。
哥伦比亚大学计算机科学教授、Usenet在线讨论系统联合创始人史蒂文·贝洛文(Steven Bellovin)说:“一个典型的组织通过防火墙有很多联系——客户、网络服务、供应商、外包商。”。“我们没有足够有效地保护这些数据。我在问社区,‘我们应该采取什么不同的做法?’”
贝洛文提出了安全在中心,以防止攻击数据库和文件共享中的关键数据。这个想法在很多方面与开放集团的想法相似耶利哥城论坛,主张为数据分配优先级,关注最关键的领域,并围绕这些机密资源应用安全通信和加密。
贝洛文和杰里科论坛都没有建议组织放弃边缘安全。周界在过滤基于网络的攻击的“噪音”方面起着非常重要的作用,可以调整周界以提供更多以数据为中心的功能。他们也没有声称要简化信息保护过程。如果有什么不同的话,他们的方法意味着围绕最佳产品和点产品集成创建更多的层次、复杂性和选择。
“问题是,我们没有从整体上看待数据。因此,数据泄露的新闻到处都是,”服务器和存储咨询公司Taneja Group验证服务总监杰夫•博尔斯表示。“实现这一目标的方法是,根据用户是谁、用户通常做什么以及数据的性质之间的关系来查看正在访问的资源。”
关键数据保护的整体方法将为试图跨越结构化和非结构化数据、静止数据、使用数据和动态数据之间的鸿沟的IT专业人员提供集成选项。不幸的是,排序、加密、监控和控制敏感数据的访问和使用的工作完全不是集成的。因此,组织正在采取各种方法来保护他们的数据不流出他们的组织,包括预防数据丢失(DLP)、访问控制和加密。
感伤的中心
首先,组织需要知道哪些数据需要保护,以及如何定位它们——这是Bellovin和Jericho模型的基石。
然而,阿伯丁集团副总裁兼研究员德里克·布林克(Derek Brink)说,太多的组织不知道这些数据是什么,在哪里。在5月份发布的一项针对120名IT安全专业人员的阿伯丁调查中,50%的一流受访者发现了他们的关键信息并对其进行了分类。
布林克说:“你不想花同样的钱来保护你的财务数据,来保护发给家人的关于周日烧烤的电子邮件。”“你只想保护重要的资源。但对这些资源进行分类才是真正的挑战。”
圣地亚哥的夏普医疗集团(Sharp HealthCare)在七家医院和两家医疗集团拥有16000名员工,是一家正在发展中的企业。技术安全架构师斯塔拉·里弗斯(Starla Rivers)表示,它使用各种手动和自动流程来理解和管理其关键数据。
锐利的使用赛门铁克的Vontu Data Loss Prevention产品套件,用于发现关键的非结构化数据,如健康识别卡和社会安全号码。Vontu通过在几个关键数据库中对数据进行指纹识别来实现这一点,在这些数据库中,医疗保险可移植性和责任法案有明确规定,金融和其他受监管的数据被处理。然后,它会在数据库之外的文件共享和端点上查找该数据的实例。(比较DLP产品.)
DLP供应商表示,与Bellovin和Jericho理论相一致,DLP工具在监控所需数据类型数量最少的情况下使用效果最好。因此,Vontu不需要为初始扫描标记关键数据库中的所有类型的数据。人们通常会标记需要保护的前五到六种数据类型。阿伯丁的调查结果显示,与夏普一样,大多数公司一开始都会对受监管的客户和声誉数据进行分类和保护。
Vontu发现网络文件共享上的敏感数据,跟踪端点上的数据移动,并围绕该数据强制执行组策略。但是,夏普需要第二种产品:瓦罗尼斯系统“Varonis DataAdvantage,用于治理和审计。(比较网络审计和遵从性产品.)
“A组可能有120人,我想协助部门的数据所有者确定个人(而不仅仅是A组)是否适合访问包含敏感数据的文件夹。这意味着要确定谁正在访问该文件夹、访问频率以及他是否应该拥有这些特权,”Rivers指出。“我们现在面临的挑战是收紧这些许可。现在我们正在利用瓦隆尼斯协助我们。”
一旦Vontu代理确定某个文件夹包含敏感数据,Rivers就会向负责该数据的管理人员提供文件列表。反过来,这些管理人员负责确定文件夹和文件是否包含执行业务功能所需的最低数量的信息。她说,人们希望他们从记录、场地、人和时间的角度来思考。
Rivers还使用Varonis和Vontu工具来分析关于保留和其他流程的监管规则,这些流程很难制定单一的政策。她说:“我们这里有太多的规定要遵守,我也没有一个数据保留规则可以制定政策。”“有些部门根本不应该存储敏感数据,而有些部门可能需要保存这些数据10年。”
Rivers说,IT团队和业务部门经理可以从Vontu和Varonis工具提供的分析中学习。与此同时,当用户违反了Vontu的政策时,Vontu会通过电子邮件和弹出警告来教育用户。结果,自2007年实施该系统以来,员工使用违规行为下降了70%。夏普的工作人员甚至使用该系统来教育向其发送敏感信息的合作伙伴。
Taneja的Boles指的是数据保护模型,如夏普的基于上下文的数据控件。他说,许多公司在分类领域都有业务,命名为Abrevity、Kazeon Systems、Mimosa Systems和StoredIQ。然而,用户组织需要精巧的技巧,才能通过对数据的使用进行基准测试来达到基于上下文的控件的下一个级别nd监控出站数据流。
网络和终端
基于网络的DLP设备符合Bellovin将安全性置于更靠近数据库的模型。数据库应用程序防火墙也是如此,例如Guardium和Imperva的防火墙,用于加固、发现、分类、监控和审计。
信息可用性和业务连续性服务提供商SunGard Availability Services的安全解决方案主管理查德•里斯(Richard Rees)表示,Bellovin有理由担心数据库的保护问题,尤其是涉及到数据库与网络服务器的关系时。Rees说:“当我们在客户端Web服务器上进行渗透测试时,我们并不关心服务器,除非它是返回数据库数据的途径。”“我们发现所有类型的漏洞都可以被利用来实现这一点——SQL注入、跨站点脚本攻击等等。”
贝洛文心里有个主意。他提出了一种称为“NewSpeak”的Web SQL语言,在该语言中,不能命令任何动词做不安全的事情。贝洛文解释说:“没有命令可以说‘给我信用卡号’。这不是Web服务器需要做的事情。相反,它应该说‘这是总金额。将这笔交易发送给账单’。”。“不应该有动词来转储数据库或读取信用卡。”
通过重写命令,开发人员将强化Web应用程序。然而,分析人士说,这需要教导开发人员用一种语言思考,这种语言不仅不能被欺骗,而且能被数据库明确理解——这是不可能一夜之间发生的。
Bellovin还建议从Web服务器获取身份验证角色,并在此过程中删除数据库中每个帐户的凭证。相反,他推荐用户级身份验证。这可能会通过联邦身份模型进行管理,例如为电子商务应用程序提供Web身份验证的triciphher等公司所使用的模型。(比较身份管理产品。)
与此同时,Jericho论坛认为访问应该由数据本身的安全属性来控制。这可以通过加密来实现,权限是临时的,仅限于该会议。
Bellovin解释道:“我的建议是,用户通过Web服务器向数据库发送的每一条SQL命令都附带身份验证。”。“如果请求没有密码,数据库服务器将不会响应任何用户记录请求。即使我入侵了Web服务器,也无法进入您的帐户,因为我找不到您的密码。只有您和数据库知道此密码。”
Imperva和其他数据库保护产品可以支持这样的架构,只要它们结合了保护机制——启发式的、关联的或签名的——David O'Berry说,他是哥伦比亚南卡罗莱纳试用部的信息系统主任。它们还必须基于一个简单的有效/无效请求-响应-传输/事务系统,该系统可以在传输的每个环节进行检查。
SunGard的Rees说:“Steve (Bellovin)所说的是真正的同心圆层。“我们不能在外围取消防火墙和(入侵检测系统),因为它们在保护网络方面做得很好。他们在保护应用程序方面做得不好。”
除了监控他们的数据库和网络的机密数据,组织还需要防止数据在终端泄漏。
为此,终端保护公司已经将DLP集成到他们的产品套件中,通常是通过收购。除了赛门铁克(Symantec)去年12月完成了对Vontu的收购,终端- dlp交易还包括趋势科技(Trend Micro) 2007年10月对Provilla的收购,以及McAfee最近对Reconnex的收购。现在,这些公司的DLP组合包括网关监控设备,以及向报告控制台提供数据的终端代理。
DLP公司还在用加密技术扩展他们的投资组合——在新的安全模型下,这是另一层必要的数据保护。例如,Sophos最近收购了德国数据安全公司Utimaco, McAfee去年秋天收购了SafeBoot,使数据加密能够集中管理。使用这些工具,组织可以支持终端政策,例如,“在下载到USB设备时进行加密”。
南卡罗来纳州的O'Berry说:“终端真的必须演变成灵活、有弹性的硬边界,或网络的皮肤。”他正在评估McAfee的Reconnex guard,同时部署McAfee的终端DLP代理,并使用Safeboot进行终端加密。“终端是犯罪分子最关注的目标,因为他们通过黑客攻击、远程控制电脑、键盘记录器和针对终端用户的网络钓鱼攻击赚了很多钱。”
奥贝里的缓刑部门支持750多名移动、可转换平板电脑用户,并与其他执法和社会服务机构建立联系。“这些平板电脑可以在各种非传统的地方登录,包括家庭网络,也可以在任何可以使用的不安全的开放无线网络上登录。”
另一家企业Signal Financial Credit Union报告说,在网关和端点使用DLP解决了98%的数据泄漏问题。该组织的首席技术官史蒂夫·琼斯(Steve Jones)说,该公司在网络出口点使用Code Green Networks的内容检查设备,检查和实施对出站电子邮件流量的保护,创建票证,并管理规则和角色。