博客相继被黑给科技公司的启示

近期,科技公司博客站点被黑的案子越来越多,造成系统的用户邮箱及密码等信息失窃,相信会给上下游的其它科技公司带来一定的安全管理启示。

关注互联网安全新闻的朋友们应该知道一个常识,就是几乎每周都会有黑客攻击造成密码泄露的安全事故发生。

这些安全事故多数发生在国外,但并不表示国内的事件不多,因为法治严谨的发达国家多会严格规定各组织机构在受到黑客攻击之后要立即通知受影响客户,而相对自由独立的海外媒体会捕捉并公开这些“丑闻”,通过引导大众,进而给那些遭遇安全事故的组织以压力。

国内的组织机构往往担心遭受巨额索赔或罚款,或者怕给商业信誉带来不良影响而喜欢疏通政府和媒体关系,企图通过公关来捂住“丑闻”,进而希望将大事化小,小事化了。

在笔者的安全审计工作中,经常有碰到客户拿出一大堆安全管理文档和流程,但没有相关的记录,就安全事件响应流程方面,多数客户称组织内部并没有严重安全事故发生过,这令人哭不得。

事实上,任何组织难免都会遭遇安全事故,“不经历风雨,怎能见彩虹”,小孩在学习走路掌握身体平衡的过程中必定要经历一些摔打的,那些自称没有经历过严重信息安全事故的组织在安全管理方面肯定是不成熟的,因为成熟的安全事故响应体系会要求有详细的事故响应处理记录、根本原因分析以及防范再次发生的根治措施。没有这些记录或报告,是企图在表明安全运行状态一直很良好呢?还是在从侧面证明安全管理水平一直处于混沌而不成熟的状态呢?

当然,安全事故发生后的响应目标是将损失降至可能最低,这里面的损失最重要的是商业信誉,诚然,目前国内几家互联网公司的流氓黑社会行为很令人不齿,这主要原因是大量的用户都是互联网安全小白,他们缺乏辨识是非正误的能力,以便被绑架了都不知晓。

事实上,那些流氓黑社会尽管短期获得了所谓的“成功”,但一点都不受社会中坚阶层如白领精英们的尊重,随着社会大众的互联网安全意识的提升和中产阶级队伍的扩大,那些没有基本商业道德准则,不讲信誉的流氓行径会受到越来越多人的唾弃,不过我们似乎也应该相信,少部分黑社会也可能会在积累了血泪资本之后通过洗钱等手段而逐渐转向正路。

我们提到的这“正路”,是指尊重比较普世的商业价值,就互联网安全事故来讲,至少有一条,是善待客户,连客户网络帐户被窃的基本知情权都给剥夺了,还谈什么客户至上,提高服务质量,改进客户满意度,超越客户期望,给客户带来最佳体验……

在普世商业价值观的指导下,回到安全事故响应的目标,将可能的损失降至最低,降低谁的损失?有人们往往会错误地将自身和客户的利益对立起来,这是严重违背普世商业伦理的,就比如你不能以更低的价格向客户提供更好的产品或服务,不要坑蒙拐骗,最好在你能做到更有竞争力之前推荐客户去其他家。因为当今竞争激烈,尽管建立客户的忠诚度难,但是你的坑蒙拐骗行为可能无疑是在将难上加难。

当你提供的互联网服务出现问题时,比如用户的密码外泄时,应该马上响应、迅速通知受影响的用户,并在技术层面帮助用户挽回可能的损失,比如要求用户登录之后立即更改密码、加入手机验证码之类的多重身份验证机制、暂时锁定那些未修改密码和确认身份的帐户进行虚拟财产交易、加强异常登录监控等等,这些措施都能够给服务质量带来积极的影响,因为安全事故已经发生,用户能理解而且只能接受现实,良好的补救措施反而会给商业信誉加分。

更多的,就是分析事故发生的根本原因,制定防范措施,相信组织内部的管理和沟通协调不是大的问题。对外,在制定这些安全措施的同时,也需要加强对系统用户的安全意识教育和安全措施使用培训,昆明亭长朗然科技有限公司的安全咨询顾问James Dong认为有有几点是必需的:

1.教育用户密码安全,使用强健的密码,包含大小写字母、数字和特殊标点符号,这些正好也可以结合网站密码强度验证功能;避免和其它网站使用相同的密码;定期更改密码等等。

2.注意防范社交攻击和钓鱼攻击,犯罪份子可能会冒充各类身份使用各种下三滥的手段来入侵用户的大脑和计算终端,甚至包括冒充你的网站服务人员来实施诈骗,教育用户不要随意接收可疑文件或点击网络链接。

3.梳理沟通渠道和紧急情况响应指南,便于用户在发现异常或问题时及时报告,以便采取适当的安全响应措施。

4.注意社交网络安全,动态网站论坛和博客被黑的概率要远高于静态网站,社交网络里的一些互动内容更是不能轻易相信,也不要在社交网站发表可能会犯罪份子利用的言论。

最后相信您已经知道,网站、应用平台和数据的安全维护关键在科技公司,但记住最终客户的水准提升上来,才是保障商业流程安全的核心,因为最终用户的安全意识低下是整体商业流程中最严重的安全漏洞,最终用户可能也是网络犯罪等安全威胁所最为关注的目标,还是一个较为散漫的大群体。

信息安全官半夜被呼醒的启示

信息安全官半夜被呼醒的情况往往是突发性紧急信息安全事故,比如遭遇“猪猪侠”这种黑客大牛将系统漏洞挖掘出来并通过媒体进行曝光,或者遭遇勒索不成恼羞成怒的骇客发起分布式拒绝服务攻击让在线业务停顿。

其实,能够引起突发性紧急信息安全事故的并不限于黑客或骇客,多数信息安全威胁都是在人们的认知范围内,除了安全事件应急响应之外,做风险评估和应对计划,业务持续性计划及灾难恢复计划时都会考虑这些。所以,出现安全事故难以完全避免,而且出现了也不会出乱子,一切尽在掌控。

可是,突发性的严重安全事故不能频频出现,否则不仅信息安全总监、经理或主管们睡不好觉,一线的业务大佬们甚至CEO和董事会主席都可能是彻夜难眠啊。

有了4G和视频通话,信息安全总监可以在被窝里指挥前线值班人员快速恢复信息系统吗?这太好笑了吧!更好笑的更刺激的更冷的是让黑客入侵了智能手机终端,偷偷拍下床头的视频并上传到互联网上……

这不是没可能,而是信息安全官带着的一批队伍的水平好过普通的入侵者,或者说安全防范措施足以应对这些安全威胁,让信息安全风险降低至可接受的水平。

这里我们不得不再次提到移动终端设备的安全,很多互联网服务在鼓励客户使用移动终端,其实我们也看到,智能手机的出货量已经开始超越个人电脑,而且我们也亲身体验到,使用平板电脑和大屏手机处理简单的业务流程操作,要比使用个人电脑要高效的多。

移动应用和移动终端设备来势汹涌,安全问题也逐渐替代PC而成为信息安全官们的梦魇,而移动终端要比PC的控管难很多,因为它们可能属于员工的资产,严格区分工作和私人用途已经非常不易,并且这些设备和用户可能随时游离于传统的工作区域和内部网络,移动用户的有效身份鉴别也挑战着传统的IAM系统,更不用说保护终端信息数据的保密不被偷窥和滥用等等。

除了移动终端之外,大数据大集中的趋势也没让信息安全官轻松,大数据,大价值,大关联,不仅仅是终端用户,更可能是客户、供应商、合作伙伴等等利益相关者。抛开隐私顾虑不说,产品流、信息流的任何一点出现严重故障都可能损及整个链条的利益和信誉。在自然,面对这些潜在的问题时,信息安全负责人轻松不下来。

信息设备和系统越来越强大和稳定,Windows蓝屏都已经很少了,PC故障排差已经不是什么IT工作了,不是么?但是IT安全的维护越来越难,为什么会这样呢?昆明亭长朗然科技有限公司企业信息安全管理顾问James Dong说:信息安全变得越来越难,主要是因为越来越多的安全事件起因于人为因素比如故意破坏或操作失误。

从外部来讲,黑客、竞争者和商业间谍的活动比以往任何时代都要猖獗;从内部来看,新世代员工们更加的开放和容易轻信他人,这内外两种因素结合起来,无疑让信息安全管理难上加难。当人为因素造成的安全事故层出不穷时,信息安全官半夜被呼醒也是常态之事了。

信息安全官想睡个好觉,解决之道何在?在技术控管层面,无疑需加强大数据——机房、服务器、应用系统、数据库以及商业流程的中央安全,以及海量终端设备的安全。在人员管理层面,无疑需要强化内部人员以及利益相关链条的信息安全意识,让内部的信息安全素养和防范水平高过外部威胁,例如,能辨识出商业诈骗电话和钓鱼邮件并采取正确的行动。

昆明亭长朗然科技有限公司各组织可依赖的信息安全意识培训合作伙伴,我们专注于帮助各类型的组织管理信息安全中关于人员的风险,欢迎联系我们洽谈业务合作。