在这个USB闪存驱动器和便携式音乐播放器的时代,“翻垃圾桶”(trash - dive)非常盛行。翻垃圾桶就是翻垃圾桶,希望能找到包含客户姓名或未来产品计划等有价值信息的纸质记录。
每个扔掉(或丢失)一个密钥链大小的闪存盘的用户都可能无意中将关键信息泄露给竞争对手。每年被丢弃在垃圾填埋场、垃圾场和庭院出售的数千万台台式电脑和笔记本电脑中的任何一台,都可能是懒惰的用户或IT部门留在硬盘驱动器上的企业数据的丰富宝库。
补丁管理和安全软件供应商PatchLink公司的高级副总裁Dennis Szerszen说:“收集垃圾仍然是一种非常有效的快速收集大量信息的方式。”“随着可移动媒体带来的动态变化,它已经成为更大的威胁。”
但是,任何让敏感数据进入垃圾桶或其他个人电脑或移动设备被处理的地方的IT经理,只能怪他自己。从低成本或免费的磁盘擦除软件到低成本的加密和更昂贵的磁盘驱动器“解体”机器,任何有意愿和意识使用它们的IT经理都可以使用这些工具。
风险因素
“翻箱倒柜”最初指在垃圾中翻找可能包含有价值信息的纸质记录,如客户姓名、产品计划或预算预测。当然,纸质记录仍然是一个挑战。
据估计,每年有5000万台或更多的个人电脑、笔记本电脑和服务器被销毁,它们所持有的信息也给它们的前主人带来了新的、越来越大的风险。新的便携式存储设备,如USB闪存驱动器和便携式音乐播放器,可以存储千兆字节的数据,让心怀不满的内部人士更容易下载并带着敏感信息出门。此外,手持计算和通信设备,如黑莓和pda,可以通过电子邮件将敏感数据输送出去,或让病毒或其他恶意软件进入。
马萨诸塞州皮博迪的汇流全球贸易交易所。,提供名为NextPhase的IT资产处置服务。NextPhase的主管Chris Adam说:“现在的热门话题是便携式设备,黑莓和其他pda,手机,甚至USB驱动器。我们总是收到这样的请求,‘我们如何保护它们?’”
行防御
保护数字信息最简单、最便宜的技术是加密。观察人士表示,现代加密软件价格低廉,使用方便,能够保护几乎任何组织在设备被销毁、或设备丢失或被盗后,不受数据失窃的影响。
旧金山安全咨询和技术许可公司Cryptography Research Inc.的总裁和首席科学家保罗·科克(Paul Kocher)说,提供免费或低成本加密服务的供应商包括TrueCrypt Foundation、PGP Corp.和Voltage Security Inc.。“在很多情况下,企业已经有了他们需要的软件,”他说,并引用了微软Windows Vista操作系统的一些版本中包含的BitLocker加密。“这只是一个正确配置和正确策略以及培训用户的问题。”
“加密,”Szerszen说,“是太容易了,不能不使用它。”
Kocher指出,现代的笔记本电脑和台式机已经足够强大,加密技术不会显著降低其他应用程序的速度。他说,更大的障碍是加密“又多了一个密码要别人记住”,而“如果有人丢失密码或离开”组织,IT人员必须创建恢复加密数据的流程。
IBM互联网安全系统X-Force高级研发团队负责人尼尔•梅塔(Neel Mehta)表示,加密技术是如此广泛而易用,未受保护数据的丢失“有力地说明”了相关公司的IT政策。他的团队强烈建议客户对任何地方的敏感数据进行加密,无论是在硬盘上,还是通过私人或公共网络传输的数据。
为了防止或至少探测到内部数据被盗,许多供应商提供了可以限制计算机物理端口使用的软件,甚至可以规定可以将什么类型的文件下载到什么类型的设备上。
以TriGeo Network Security Inc.为例,该公司发言人说,公司的USB- defender可以检测闪存驱动器等设备插入USB端口的行为,捕获设备的详细信息,并记录复制到或从该设备复制的每个文件。
退伍军人服务内华达州办公室的信息安全官员杰夫·富勒使用PatchLink公司(原名SecureWave)的避难所设备控制软件来保护敏感信息。因为Windows会自动配置移动存储设备,比如USB驱动器,允许它们上传或下载数据,他将Sanctuary配置为拒绝访问这些移动存储设备,除非他特别授予访问权限的用户。
Credant技术公司。该公司的Mobile Guardian对移动设备提供基于服务器的控制,执行的政策涵盖了哪些数据可以传输到这些设备、哪些数据可以从这些设备传输、加密强度以及在这些设备上使用的密码等领域。
移动电话和pda(如黑莓)也会带来风险,因为它们能够接收和存储电子邮件。但观察人士表示,大多数软件都支持加密,并指出,如果有人反复输入错误的用户名或密码,管理工具允许管理员自动拒绝访问,甚至删除数据。
生命终止保障
设备被丢弃后,垃圾箱成为最大的危险。根据硬盘上数据的敏感性,IT管理人员可以依赖任何东西,从低成本的人工处理和商业软件到物理破坏,以确保数据不会从废弃的设备中提取出来。
Kocher说,正如大多数IT经理所知道的那样,简单地重新格式化硬盘只会擦除指明数据存储位置的目录信息,而不会擦除数据本身。从免费软件、共享软件到商业软件,各种各样的工具都能有效地清除硬盘上的数据。Kocher说,仅仅是将毫无意义的数据完全填满一个驱动器就可以“很好地清除其中的内容”。一些用户在磁盘驱动器(或磁带)上通过一个强大的磁铁打乱存储在媒体上实际数据的比特和字节的磁性方向,这个过程称为消磁。
对于那些丢失将是灾难性的数据,最终的步骤是物理上摧毁驱动器,包括保存数据的磁碟。NextPhase可以将硬盘盘片压缩为四分之一英寸或更少的碎片。这是最小的尺寸,亚当说,一个真正有决心的专家仍然可以从中检索数据。“我们称之为分解,而不是粉碎,”他说。“看起来像麦片。”The cost of such destruction: US$4 to $15, depending on whether the customer wants NextPhase to record the serial number of the drive and document its destruction. The company can also destroy PDAs and personal communicators such as BlackBerries.
当涉及到USB闪存驱动器,灌装设备和删除垃圾数据足以阻止一个随意的黑客,Kocher说,但更复杂的对手可以发现内存中的数据部门被标记为坏或存储设备中的纠错代码的一部分。他说,对于被丢弃的闪存盘,物理销毁可能不是最终的解决办法,因为存储数据的闪存盘内的芯片非常小,甚至可能不会被彻底粉碎。
在销毁保存敏感信息的服务器硬盘之前,Fuhler使用一种商业产品来删除其中的数据。在处理RAID阵列之前,他“打乱”硬盘驱动器的物理位置,使任何幸存的分区表无用。然后,他重新格式化RAID阵列并重新安装操作系统,为州政府内将使用该阵列的下一个机构做好准备。
人的因素
得克萨斯州艾迪生市的移动数据保护软件供应商Credant Technologies Inc.负责市场营销的副总裁理查德•斯通(Richard Stone)说,无论你采取什么措施防止用户翻垃圾桶,任何妨碍用户完成工作的安全策略都不起作用。“说‘不要插入USB驱动器’的安全程序是不现实的,”他说。他认为,现实的政策是只允许用户将USB驱动器附加到受Credant等控制软件保护的设备上。
最后,Kocher说,“最重要的甚至不是技术。”Rather, he says, "it's making sure you hire people you trust and you educate them properly." He points out that 40% of security breaches are caused by current or former employees rather than outside hackers. And if malicious employees have access to sensitive data, he says, "there's not really any technical solution you can rely on to ensure nothing bad ever happens."
他说,换句话说,无论你如何把旧硬盘碎片化,“如果你的企业文化让员工不开心,那就是一种安全威胁。”
这篇文章,“在垃圾桶里寻找电子数据”最初是由《计算机世界》 。