原文:
annas-archive.org/md5/cb5e79ad1f7a31eaf76b82b01d6af659译者:飞龙
前言
公司每年投入数百万美元购买最新的安全产品,从防火墙到门禁系统,但他们未能投资于保护环境中最宝贵的资源——更具体地说,是他们的员工。往往情况是,安全意识培训是一年一度的事件,涉及过时且乏味的材料,很大程度上被忽视。结果是员工缺乏对现代攻击及其后果的理解。这种知识缺口为攻击者提供了无穷无尽的机会。在《构建安全意识计划》中,比尔·加德纳(Bill Gardner)和瓦莱丽·托马斯(Valerie Thomas)详细介绍了从零开始构建整个安全意识计划的步骤。该书还为那些希望改进或现代化现有安全意识计划的人提供了指南。
就个人而言,在我以前的生活中作为黑帽骇客以及作为安全顾问期间,我利用了这种知识缺口。我通过将社会工程与技术攻击相结合,访问了成千上万个系统。在最近的一次渗透测试中,我通过电子邮件发送了一个恶意文档,看起来是来自客户供应商之一的。只需点击鼠标一次,我就进入了。几天后,我访问了客户的整个企业网络、源代码、财务情况等等。
虽然钓鱼是一种常见的攻击向量,但其他类型的攻击仍然构成威胁。社会工程章节中的故事可能看起来过于美好,但它们描述的是真实事件。托马斯和加德纳在对毫无防备的员工进行渗透测试时执行了这些攻击,并且每次都成功了。即使世界上最好的技术也无法保护您,如果攻击者可以毫无阻碍地通过前门进入。在第十二章《汇聚一切》中,托马斯和加德纳定义了不仅构建意识计划所需的步骤,还有开始赋予员工挑战和验证可疑行为的过程。
随着攻击变得更加专注,组织必须调整其防御策略,包括安全的人为因素。从零开始创建意识计划可能令人望而生畏和不知所措。《构建安全意识计划》将带您逐步完成创建一个与您的组织独特的计划的过程,以便在攻击者来袭时做好准备。
凯文·米特尼克,^(演讲者,顾问,畅销书《电线中的幽灵》作者)
这本书对我来说是建立信息安全计划和了解真正风险的基础书籍之一。对我来说,我们今天在安全领域面临的最大风险之一是通过人为因素。比尔和瓦莱丽在展示可能发生的攻击类型的有效性以及如何构建一个成功的计划以减少与有针对性攻击相关的风险方面做得非常出色。当我担任财富 1000 强公司的首席安全官时,建立教育和意识计划是我最有成就感的时刻之一。意识计划不仅提高了安全团队对员工群体的检测能力,而且开始改变文化,使之成为以安全为导向的文化。当我们在组织中实施某项措施时,不是因为安全要严厉或过度保护——我们的员工实际上理解这是一个更大的画面的一部分。一个有意义的使命。我们的计划迅速发展,并以高速度与高管和 IT 部门为了一个共同目标而努力。所有这一切都是因为我们的意识计划。
快进看看正在发生的攻击。我们的边界变得更加安全,我们正在锁定更多的东西。黑客转向最薄弱的环节,那就是我们的终端用户群体。我们必须采取行动,我们必须培训我们的人员,最重要的是,这对他们来说必须是重要的。教育和意识是有效的,我可以通过我们一直与之合作的人证明这一点。我曾多次看到意识将整个公司转变为一个以安全为导向的公司。不要过多关注技术,而是关注教育用户的基本要素。
我读过很多书,但这本书与众不同。这是建立成功的安全意识计划的方法,是推动你的信息安全计划前进的方法,也是训练用户以便检测攻击的方法。我非常支持向公司和员工提高意识;这是你将获得的最大回报之一。比尔和瓦莱丽展示了野外成功攻击的混合,并紧随其后的积极防御方法是非常出色的。
如果你已经阅读过这本书,请吸收一切,休息一下,然后想想如何实施你在这里学到的一切。这些建议来自经验和有效性。你的计划、你的可见性以及你阻止攻击并减少风险的能力取决于此。
如果你刚拿起这本书,而且今年只能读一本书,那就选这本吧。这是你将阅读的最重要的书之一。
戴夫·肯尼迪,演讲者、顾问、作家,TrustedSec 首席执行官
序言
比尔·加德纳
很多人问我为什么要写一本关于建立信息安全意识计划的书。虽然每个人都知道拥有这样一个计划是一个好主意,但没有人真正知道从哪里开始。这本书的目的是制定一个从零开始建立计划的计划,然后看看一些衡量计划有效性的方法一旦计划就位。
这本书旨在成为一份路线图。一刀切并不总是适用于所有情况,您的组织可能有不同的途径来实现相同的目标。当我建立信息安全意识计划时,我意识到记录我在做什么以及如何做的过程可能对那些可能需要这些信息的人有价值。
关于作者
比尔·加德纳,持有 OSCP、Sec + 和 iNet + 资格,是马歇尔大学数字取证和信息保障助理教授,304Geeks 和 Hack3rcon 的联合创始人,过去曾担任阿巴拉契亚数字证据学院(AIDE)的主席和董事会成员,并且是安全意识培训框架的成员。
瓦莱丽·托马斯是 Securicon LLC 的资深信息安全顾问,专门从事社会工程学和物理渗透测试。在获得电子工程学士学位后,瓦莱丽曾领导国防信息系统局(DISA)的信息安全评估工作,然后加入了私营行业。在她的职业生涯中,瓦莱丽进行过渗透测试、漏洞评估、合规审核以及面向高管、开发人员和其他安全专业人员的技术安全培训。
致谢
感谢 Syngress 团队让这本书成为可能。我还要感谢安全意识框架团队的成员们,让我向他们请教并参与了书中的问答。感谢 Justin Brown 和 Frank Hackett 的支持和帮助。感谢 304Geeks 的 Rob Dixon,Matt Perry,Benny Karnes 和 Rick Hayes 的支持。此外,感谢我的“黑客团队”:pr1me,gl1tch,c0ncelled,spridel 和 Hackett。感谢慈善黑客团队的成员们:Sam,Glenn,Nathan,Mary,特别是 Johnny Long 的友谊和支持。还要感谢 Dave Kennedy 的友谊,作为一个真正的领导者和激励者的榜样。感谢 Amanda Berlin,Phil Grimes,Jimmy Vo,Tess Schrodinger 和其他贡献者,他们花时间贡献了他们的知识和经验,以问答的形式包含在这本书中。
感谢许多会议组织者让我在他们的会议上谈论这个主题:Grecs 在 ShmooCon FireTalks;Adrian Crenshaw,Martin Bos,Dave Kennedy,Erin Kennedy 和 Nich Hitchcock 在 DerbyCon;John Sammons,Jill Macintyre,Terry Fenger,Peggy Brown 和 Kelly Griffith 在 AIDE;Liam Randall,Justin Hall 和 BsidesCincy 的其他组织者;BsidesCleveland 的组织者;以及 BsidesAsheville 的组织者。感谢我的在线团队:George V. Hulme,Bill Brenner,Boris Sverdlik,Digital Trust 的 Brian Martin,KC Yerid,Leonard Isham 和 Gal Shpantzer,在我研究和撰写这本书时让我娱乐。感谢 Lee Baird 的鼓励和支持。
感谢 John Sammons 让我与 Syngress 的好人联系在一起。感谢 Branden Miller,我与他共同在 BsidesCleveland 和 DerbyCon 上首次演讲这个主题。感谢我的合著者瓦莱丽·托马斯,在书已经开始后加入。感谢 Krista McCallister 在检查我的编辑和研究方面的帮助。
感谢我的学生们让我感觉自己既年轻又年老;马歇尔大学的同事、同事和管理层;西弗吉尼亚州立大学经济发展中心让我使用他们的共享工作空间;Moxxee Coffee 让我使用他们的咖啡店作为写作空间;我的朋友卡拉·史蒂文斯,与我共进午餐,为我提供长时间写作的休息时间;以及为写作这本书提供配乐的 Infected Mushroom 和 Dual Core。特别感谢 Dave Kennedy 和 Kevin Mitnick 为这本书写序言。
感谢我的家人,我的母亲贝蒂,我的侄女安伯,我已故的姐姐金姆,我已故的父亲比尔,我的祖父比尔·哈蒙德斯,以及我的其他家人。
特别感谢 Blair Gardner,在我长时间在电脑前度过的日夜中支持和包容我。没有你的爱和支持,这本书将不可能完成。
比尔·加德纳
除了我自己的努力之外,这本书的成功在很大程度上取决于许多其他人的鼓励和支持。感谢我的丈夫查德和孩子安德鲁以及莉莉,在我长时间坐在键盘前的时光里给予我的耐心和支持。我承诺现在要休息一下。特别感谢我的父母保存了我 7 岁时写的小故事书;希望这本书更加令人印象深刻。我要感谢 Syngress 和我的合著者比尔·加德纳使这本出版成为可能。感谢蒂姆·劳顿、杰伊·卢埃林和丹妮尔·多明格斯在内容审查和编辑过程中帮助我。感谢我的朋友凯文·米特尼克为这本书写前言。自从我第一次打开《欺骗的艺术》以来已经过去了很多年,这本书激发了我在信息安全领域的职业生涯,我对你的启发和支持感激不尽。我还要感谢戴夫·肯尼迪为这本书写前言,并且对我们所有在安全行业的人都是一个榜样。感谢我的朋友和导师克里斯·鲁索,他总是帮助我找到自己的道路。
瓦莱丽·托马斯
第一章:什么是安全意识计划?
比尔·加德纳(美国西弗吉尼亚州亨廷顿市马歇尔大学)
摘要
不是所有的攻击都是技术性的。现在我们在网络周围建立了技术防御,社会工程术被用于大多数最近的违规事件中。对抗社会工程术的唯一防御就是一个引人入胜的安全意识计划。安全意识计划有助于制定和执行政策,同时帮助确定组织计算机和通信服务用户行为的可接受和不可接受的界限。安全意识计划有助于限制对组织敏感和机密数据的违规风险。安全意识计划被定义为一个正式计划,旨在培训组织信息的潜在威胁,并教导如何避免可能使组织数据处于风险中的情况。
关键词
安全性
意识
政策
政策制定
政策执行
成本节约
生产增加
正式计划
引言
安全意识计划是一个正式计划,旨在培训组织信息的潜在威胁,并教导如何避免可能使组织数据处于风险中的情况。
安全意识计划的目标是降低组织的攻击面,使用户能够对保护组织信息承担个人责任,并执行组织为保护其数据制定的政策和程序。政策和程序可能包括但不限于计算机使用政策、互联网使用政策、远程访问政策和其他旨在管理和保护组织数据的政策。
在信息安全领域,人是最薄弱的一环。人们希望帮助。人们希望做好工作。人们希望向他们的同事、客户和供应商提供良好的客户服务。人们充满好奇心。社会工程师试图利用人类的这些特性。“社会工程被定义为欺骗人们泄露访问或机密信息的过程”[1]。对抗社会工程攻击的唯一已知防御是一个有效的安全意识计划。除非用户了解社会工程师的战术和技巧,否则他们将成为牺牲品,并将组织的数据置于风险中。
最近一项调查显示,绝大多数违规行为都利用了对人的攻击。其中一个例子是 RSA 泄露事件[2],其中复杂的攻击者使用有针对性的钓鱼攻击窃取了 RSA SecurID 认证令牌,导致了美国国防承包商洛克希德·马丁公司的进一步被侵入[3]。另一个例子是针对谷歌和其他大型软件公司的“极光”攻击,该攻击利用了一种将用户发送到一个网站的攻击,该网站感染用户的零日漏洞利用。其结果是,大量的知识产权,包括源代码,被从包括谷歌和 Adobe 在内的公司窃取[4]。
如今,网络上的坏人不再试图通过防火墙进行入侵。坏人绕过防火墙。组织已经花费了数十亿美元开发分层防御,以抵御网络攻击者。有诸如防病毒软件、入侵检测系统、入侵预防系统和其他技术解决方案来保护信息。有了这些复杂的解决方案,攻击者现在转而采取更加有针对性的攻击,专注于诱使用户点击链接或打开附件。
戴夫·肯尼迪的社会工程师工具包在模拟网站、附件、人机接口设备(HID)和 QR 攻击等社会工程攻击方面做得非常出色,供防御者用来测试自己的环境[5]。这听起来可能很简单,但如果用户收到一封看似来自 HR 部门的附件,看起来像是组织中每个人的加薪表格,他们会做什么呢?(参见图 1.1)好奇心可能不仅会害死猫,也可能使您的数据面临风险。
图 1.1 社会工程师工具包(SET)。
虽然 SET 是一个技术工具,但其目标是利用非技术手段来利用人类,而这些人类又利用计算机,从而导致数据泄露 [6]。SET 可以轻松克隆一个网站到攻击者的机器上,然后在网站中插入攻击。在这一点上,攻击者将尝试将用户引导到克隆的网站上。这可能通过钓鱼邮件来实现,发送给用户的链接经过了伪装,或者通过购买一个看起来合法的域来托管克隆的网站。一旦用户进入克隆的网站,攻击者就可以使用多种不同的攻击向量来窃取信息或安装后门,以使攻击者能够像合法用户一样访问系统。SET 还具有对这些攻击进行编码的能力,因此它们不会被用于检测恶意软件和入侵的杀毒软件等软件检测到。通过 SET 完成的凭证窃取攻击是通过克隆 Twitter、Facebook,甚至是银行或信用卡网站的网站以及一个用户名和密码文件来实现的。当用户尝试登录网站时,SET 会窃取用户名和密码,并将用户登录到合法网站。我们将在本书的后面更详细地讨论 SET。
安全意识计划也是成熟安全计划的基石之一。政策和程序是第一个基石。下一层是安全意识计划,也称为用户意识培训。只有当这两个要素到位后,我们才会转向补丁管理、日志管理、防病毒/HIDS、安全设备,最后是指标等下一步。多年来,组织一直在向安全方面投入资金,而这些资金本应更好地用于培训他们的用户 (图 1.2)。本书的重点是逐步构建一个安全意识计划,最终目标是建立一个成熟的安全计划。
图 1.2 成熟安全计划的要素。
政策制定
政策制定确定了组织用户的目标、限制和期望。根据组织的大小,这些政策可以是一系列文件,涉及组织的 IT 和 HR 结构的特定部门,或者在较小的组织中,它可能是一份单一的文件,概述了使用组织电话、计算机、电子邮件和其他数字资产的人员的限制和职责。
最常见的政策是计算机使用政策。其他可在单独文件中处理的单独政策包括电子邮件使用、互联网使用、电话使用和传真使用。计算机使用,有时也称为可接受使用政策,定义了用户对计算机和电信资源的访问级别,以及他们对这些资源使用的权利和限制。可接受使用的最大目标是界定使用何时结束,滥用何时开始。例如,在大多数组织中,如果用户花费工作时间访问色情和赌博网站,将被视为滥用。如果员工在工作日过度使用电话和电子邮件服务进行个人沟通,也将被视为滥用。大多数组织都明白一些个人使用是必要的,并通过可接受使用政策来界定何为组织设备和服务的可接受使用,何为不可接受使用。
一些组织的使用政策是基于在互联网上找到的模板[7]。虽然这些模板很有用,但重要的是要记住,它们需要根据您组织的需求和任务进行定制。
组织的人力资源部门也需要参与其中。在许多情况下,政策的具体部分将受到人力资源部门的处罚。在大多数情况下,政策和程序将必须考虑到法规。那些处理健康数据的组织可能受到 HIPAA/HITECH 的覆盖。处理信用卡交易的组织可能受 PCI DSS 的覆盖。具体而言,HIPAA/HITECH 安全规则的物理标准解决了工作站使用、164.310(b);工作站安全、164.310©;以及设备和媒体控制,164.310(d)(1)等问题。HIPAA/HITECH 还要求对不遵守政策的人员进行惩罚,特别是根据安全规则的行政标准,特别是授权和/或监督、工作人员清理程序和终止程序,164.308(a)(3)。
政策执行
没有执行力的政策是浪费时间和对组织的损害。有效安全意识计划的一个目标是通过向用户教育政策和组织的期望来执行政策。
没有强制执行的政策比任何东西都更无用。许多组织花费大量时间制定政策。很多时候,这些政策最终只是放在某人办公室的书架上。
将可接受使用和其他政策副本提供给用户是一个很好的第一步,但大多数时候,用户不会花时间阅读信息。安全意识计划应用于审查这些政策,特别是适用于组织通信和信息技术基础设施使用、滥用及其惩罚的政策。
本书的目标是阐明如何从获得管理层支持到使用有效的指标衡量程序构建有效的安全意识计划。它也适用于从管理层到数字一线的 IT 经理,他们对启动安全意识计划感兴趣。虽然本书将涵盖很多内容,但最终目标是让您能够开发出一个引人入胜的安全意识计划,帮助您的组织在面对在线威胁时管理风险。
成本节约
数据泄露会造成金钱损失。如果您是受到《HIPAA/HITECH》或《PCI DSS》等法规覆盖的组织,数据泄露可能会导致数百万美元的罚款,具体数额取决于泄露的规模。此外,许多州现在都有泄露通知法,要求失去数据的组织通知受影响的人失去了什么,并在某些情况下为受影响者提供信用保护。波尼蒙研究所和赛门铁克在 2013 年 6 月发布的一份报告发现,2012 年的泄露全球平均每个记录造成了 136 美元的损失[8]。
2012 年 5 月,美国卫生与人类服务部民权办公室对爱达荷州立大学因健康数据泄露而罚款 40 万美元[9]。2012 年 6 月,阿拉斯加州卫生与人类服务部(DHHS)同意支付 170 万美元,以解决可能违反《HIPAA/HITECH》法规的问题[10]。
支付卡行业已经针对数据泄露设立了高达每起事件 50 万美元的罚款[11]。2010 年,位于田纳西州纳什维尔的体育用品公司 Genesco 因未遵守 PCI DSS 法规而被罚款超过 1300 万美元,公司发现自己被黑客入侵,监管机构发现公司不合规[12]。
产量增加
较少的恶意软件和计算机问题可能会导致较少的停产时间和组织产量的增加。IT 和安全团队实际上可以花时间积极主动地推动组织的使命,而不是对病毒和其他恶意软件感染做出反应,并调查可能的实际数据泄露[13]。
一些感染和泄露可能导致数天甚至可能数周的停产时间。这些中断会导致组织利润减少,并在某些情况下使组织面临民事诉讼、可能的监管行动以及可能失去客户和业务伙伴的风险。
一些数据泄露并不是外部行为者造成的,而是员工的错误,比如关闭防火墙[14]或者没有正确配置网站以不向公众显示机密数据[15]。没有正确完成工作所需的知识,员工们会继续犯错误。
安全意识计划的最终目标是管理组织的风险。大多数组织都有安全计划来确保员工在工作中安全。安全意识计划的目标应该是确保组织的数据安全。
管理支持
建立安全意识计划的第一步,也是最重要的一步,是获得组织管理结构的批准和支持。如果没有管理支持,政策将不会得到制定,政策将不会得到执行,管理层和员工将反抗任何对他们在保护组织信息方面施加的结构、规则或限制。即使面对像 HIPAA/HITECH 和 PCI DSS 这样的法规,如果没有组织管理层的支持,安全意识计划也将失败。
管理支持始于向管理层展示风险,然后说明安全意识计划如何帮助他们管理这种风险。第二步是向管理层展示这样一个计划如何支持组织的业务目标,包括政策制定、政策执行、成本节约和生产增加。
展示风险包括针对组织行业的案例研究。例如,如果您的组织是一家律师事务所,使用案例研究和律师事务所因用户错误而遭受侵犯的案例和例子。同时,说明攻击者的狡猾也很重要。大多数人在考虑安全问题时会想到日常的非定向病毒感染,而最危险的攻击者是技术先进的黑客,他们试图窃取知识产权、财务信息和商业机密。
管理层并不总是愿意接受变化,特别是当他们认为这些变化会妨碍组织的业务目标时。用非技术术语与管理层进行适当沟通是获得管理支持的关键。当自上而下的管理层了解安全意识计划的目的和目标,并且这样一个计划符合组织的业务目标,主要是赚钱时,他们将更愿意实施安全意识计划。
在本书的其余部分,我们将继续从零开始以很少或没有资金的方式查看安全意识计划的具体步骤。常识性方法是应对大量现代信息威胁的最佳途径。虽然一些组织提供付费的、通常是现成的安全意识计划,但本书的重点是赋予理由在他们自己的组织内建立自己的计划,无论这些组织是小型、中型还是大型企业或公司,或者是非营利组织,甚至是学校。大部分信息也可供家庭用户使用,以更好地管理他们在面对在线威胁时的风险,但家庭用户不在本书的范围之内。
注意
[1] 社会工程框架。www.social-engineer.org/framework/Social_Engineering_Defined [于 13 年 6 月 2 日访问]。
[2] 《Digital Dao》:全球网络空间中不断演变的敌意。jeffreycarr.blogspot.com/2011/06/18-days-from-0day-to-8k-rsa-attack.html [于 13 年 6 月 3 日访问]。
[3] 《InformationWeek 安全》:RSA 遭受攻击八个月后。www.informationweek.com/security/attacks/rsa-breach-eight-months-later/231903048 [于 13 年 6 月 3 日访问]。
[4] 《Wired》:谷歌黑客攻击极为复杂,新细节揭示。www.wired.com/threatlevel/2010/01/operation-aurora/ [于 13 年 6 月 3 日访问]。
[5] TrustedSec:社会工程师工具包。www.trustedsec.com/downloads/social-engineer-toolkit/ [于 13 年 6 月 4 日访问]。
[6] 社会工程框架:基于计算机的社会工程工具:社会工程师工具包(SET)。www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_(SET) [于 13 年 6 月 4 日访问]。
[7] SANS:信息安全政策模板。www.sans.org/security-resources/policies/ [于 13 年 6 月 4 日访问]。
[8] Ponemon 和 Symantec 发现大多数数据泄露是由人为和系统错误造成的。www.symantec.com/about/news/release/article.jsp?prid=20130605_01&om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2013Jun_worldwide_CostofaDataBreach [于 13 年 6 月 5 日访问]。
[9] HHS 因健康数据泄露罚款爱达荷州立大学 40 万美元。healthitsecurity.com/2013/05/22/hhs-fines-idaho-state-university-400k-for-data-breach/ [于 13 年 6 月 6 日访问]。
[10] 阿拉斯加州卫生和社会服务部因违反 HIPAA 安全案例达成 170 万美元的和解。www.hhs.gov/ocr/privacy/hipaa/enforcement/examples/alaska-agreement.html [于 13 年 6 月 6 日访问]。
[11] PCI-DSS:安全—处罚。financial.ucsc.edu/Pages/Security_Penalties.aspx [于 13 年 6 月 6 日访问]。
[12] 遭受违规罚款后,零售商起诉 Visa。www.scmagazine.com/retailer-fights-pci-fines-for-noncompliance-after-breach-sues-visa/article/284088/ [于 06.06.13 访问]。
[13] 数据泄露的最高风险是停机时间。www.informationweek.com/security/management/downtime-rated-top-risk-of-data-breaches/228201056 [于 07.06.13 访问]。
[14] HHS 对爱达荷州立大学进行 $400 K 的医疗数据泄露罚款。healthitsecurity.com/2013/05/22/hhs-fines-idaho-state-university-400k-for-data-breach/ [于 07.06.13 访问]。
[15] 布鲁克黑文数据泄露“是文员错误”,官员称。www.newsday.com/long-island/towns/brookhaven-data-breach-was-clerical-error-officials-say-1.5426405 [于 07.06.13 访问]。
第二章:威胁
比尔·加德纳 ^(美国西弗吉尼亚州亨廷顿市,马歇尔大学)
摘要
在线攻击者受到许多因素的驱使。大多数人寻求窃取金钱或受保护的在线信息,如信用卡号码或可以用于赚钱的知识产权。其他动机根植于政治抗议,在黑客主义的情况下,或者根植于进一步推动国家利益的情况下,如网络战的情况。所有动机的鼻祖是炫耀权利。在数字地下世界中,展示您的技术威望和您的高级技术能力长期以来一直受到高度尊重。
关键词
攻击者的动机
金钱
黑客主义
炫耀权利
网络战
在线攻击者的动机
为了恰当地培训用户,首要任务是让他们了解在线面临的威胁、威胁行为者以及在线犯罪分子的动机。许多时候,用户并不理解他们每天访问的信息对他们工作的价值。在律师事务所的情况下,律所将收集更多的机密数据以代表其客户的利益。在会计事务所的情况下,公司可以访问客户的敏感财务文件。医生、医院和保险公司可以访问敏感的健康数据。雇主收集员工的个人和财务信息,如社会安全号码,以及其他个人信息,以便处理保险和工资单。对于有家庭的员工,雇主需要收集家庭成员的社会安全号码和其他个人信息。
想想你组织中的信息。如果您的雇主丢失了您的个人和财务信息,您将损失多少?如果您的组织丢失了员工、客户和业务伙伴委托给它的机密和特权信息,它将损失多少?
金钱
在线攻击者的首要目标是金钱。在线犯罪分子通过在线计划、欺诈和盗窃赚取数十亿美元 [1]。一些团体针对计算机窃取个人信息和信用卡信息 [2]。被盗的信用卡信息可以直接使用,也可以出售给其他犯罪分子。
工业间谍/商业机密
其他更复杂的攻击者试图窃取机密信息和知识产权以进行销售。例如,如果在线犯罪分子能够窃取可口可乐的配方,他们就可以卖得很多钱 [3]。
黑客主义
黑客活动家受政治原因激励[4]。最广为人知的黑客活动家团体是匿名者及其附属团体[5]。黑客活动主义被定义为“利用非暴力手段使用非法或法律模糊的数字工具追求政治目的。这些工具包括网站篡改、重定向、拒绝服务攻击、信息窃取…”[6]。
黑客活动主义有许多不同的例子,但最大、最成功、最知名的是索尼行动。也被称为 Op Sony,匿名者称之为当时的事业是乔治·霍茨的案例,他也被称为第一个“越狱”iPhone 的黑客。乔治,网上以他的别名 GeoHot 而闻名,还想“越狱”他的 PlayStation 3,这将使用户能够玩和分享自制游戏。2010 年 12 月 29 日,乔治·霍茨和被称为 fail0verflow 的黑客集体宣布他们已经获取了索尼 PlayStation 3 游戏机的根密钥。2011 年 1 月 3 日,乔治·霍茨在他的网站geohot.com上发布了他的发现。2011 年 1 月 11 日,索尼对乔治·霍茨和 fail0verflow 的其他成员提起诉讼,因为他们泄露了 PlayStation 3 的根密钥[7]。
2011 年 4 月,匿名者发动了所谓的 Op Sony 行动的第一击,通过使 PlayStation Network(PSN)和几个与 PlayStation 相关的域名,包括 PlayStation Store,下线[8]。后来发现,这些攻击不仅导致 PSN 服务中断,还成为历史上最大规模的数据泄露事件之一,涉及超过 7000 万条记录,包括个人可识别信息(PII)和信用卡信息[9]。
这段时间还见证了匿名者的一个子群体 LulzSec 的崛起。这个冒失的匿名者子群最终声称窃取了 PlayStation Network 的 2460 万条记录[10]。该组织随后进行了大规模的黑客攻击,涉及了从Fox.com到 PBS 以及游戏公司 Bethesda Game Studios 等许多知名目标,同时一直戏弄和嘲讽执法部门。他们认为自己是当代的罗宾汉,揭露了他们攻破的网站的不安全性。随着他们的黑客攻击活动的持续,他们继续吸引公众的关注和执法部门的关注,一直持续到 2011 年夏天。该组织的活动变得越来越大胆和离谱[10]。到 2011 年秋季初,有报道称该组织的领袖 Sabu,其真名为 Hector Xavier Monsegur,于 2011 年 6 月 7 日被捕,并成为 FBI 的线人[11]。到 2011 年年底,LulzSec 小组的所有成员都将被捕并被监禁。尽管 LulzSec 小组的统治已经结束,但匿名者这些不同的组织仍然存在。
匿名者始于 2003 年,起初在互联网图像网站4chan.org上,每个用户都以匿名用户的身份发帖。随着网站的发展,许多“匿名者”发现他们在某些目标和政治观点上有共同之处。4chan.org上的留言板,主要是一个名为/b/的留言板,用于发布包含行动呼吁的随机信息。尽管匿名者参与了许多数据泄露事件,但他们主要以对政府、宗教和企业网站的分布式拒绝服务(DDoS)攻击而闻名。此类攻击的一些知名目标包括西博罗浸信会、科学教会、PayPal、万事达卡和 Visa[12]。许多匿名者成员是通过该网站得知了索尼对乔治·霍兹的诉讼,并经常在 4chan 上讨论和协调进行中的行动,但现在匿名者在Pastebin.com上分享操作细节。Pastebin 是作为一个一定时间内分享信息的网站而开发的[13],但开发者们可能从未想过它会成为今天正在进行的匿名者行动的焦点。匿名者及与匿名者相关的黑客组织还使用该网站来倾倒其敌人的个人信息,被称为网络黑市的 doxing,并分享从数据泄露中获得的机密信息,如电子邮件、密码、用户名和密码哈希值。
网络战
网络战被定义为国家对国家的战争。在某些情况下,国家似乎利用爱国黑客和黑客团伙来促进他们的国家利益。我们也将这些行动称为网络战。最近,网络战已成为一个备受关注的话题,大部分指责入侵都指向了赛里斯政府。我们今天所说的网络战并不新鲜。Titan Rain 是美国政府自 2003 年以来称之为的一系列对美国计算机系统的协同攻击,被归因于赛里斯政府 [14]。
被广泛讨论和引用的网络战事件之一发生在 2007 年的爱沙尼亚,当时因俄罗斯与爱沙尼亚在塔林(爱沙尼亚首都)重新安置“塔林铜士兵”和战争墓地而产生分歧,结果导致爱沙尼亚公共和私营部门遭受了一系列大规模协同的网络攻击。爱沙尼亚的银行、议会、部门、报纸和电视都被攻击击倒 [15]。
最近,头条新闻充斥着关于新型定向武器在我们现在称之为网络战的领域中的使用的消息。这些新型“网络武器”中最引人注目的是 Stuxnet [16]。Stuxnet 瞄准了伊朗纳坦兹铀浓缩厂的离心机。根据一些专家的说法,这次网络攻击使伊朗的核计划倒退了数年。它也可能拯救了生命,因为不需要传统的军事行动来摧毁离心机 [17]。
网络战的一个子集是网络间谍活动。这是对企业和其他组织最直接的威胁。据报道,2010 年 9 月,一些加拿大的律师事务所遭到了赛里斯黑客的入侵,他们试图阻止一家澳大利亚矿业公司对世界最大钾肥生产商的 400 亿美元收购 [18]。2013 年 2 月 18 日,互联网安全公司曼迪安特发布了一份报告,声称他们有确凿的证据证明赛里斯军队正在背后策划对美国网络的入侵,以窃取政府和非政府组织的敏感数据和商业机密 [19]。
自夸权利
做别人认为不可能的事情会给黑客带来很多“信誉”和在数字地下世界中的追随者。在互联网犯罪的黑暗世界中,声誉就是货币。2011 年,黑客成立了一个名为“RankMyHack.com”(现已下线)的网站来评分黑客攻击。攻击越复杂,分数越高 [20]。
在黑客们开始窃取金钱和知识产权之久以前,他们首先是向其他黑客炫耀自己的技能。虽然如今“黑客”一词通常用来指代侵入计算机系统的人,但这个词最初起源于 20 世纪 70 年代的麻省理工学院学生文化中。如果一位学生能够用最少的步骤提出一种特别简洁的解决方案来解决一个复杂的问题,那么他们就被称为“黑客”,而这个解决方案被称为“黑客之道”。后来,“黑客”一词被用于描述学生们对麻省理工学院行政部门进行的复杂恶作剧。这些恶作剧可以追溯到 1947 年,当时麻省理工学院的学生们使用爆炸导火索在哈佛大学的橄榄球场上烧毁了“MIT”字样。其他恶作剧包括在校园建筑物顶部放置一个模拟的麻省理工学院警车,上面装有闪烁的蓝色灯光 [21]。
注释
[1] 为网络犯罪规模测量。www.guardiannetworksolutions.com/cyber-crime-costs/ [于 13 年 06 月 13 日访问]。
[2] 网络犯罪的可怕崛起:您的计算机目前正被犯罪团伙盯上,他们希望获取您的个人信息并窃取您的资金。www.dailymail.co.uk/home/moslive/article-2260221/Cyber-crime-Your-currently-targeted-criminal-gangs-looking-steal-money.html [于 13 年 06 月 13 日访问]。
[3] 这个人是否在旧抽屉里找到了可口可乐的原始配方?古董商将“秘密配方”以 1500 万美元的价格在 eBay 上出售。www.dailymail.co.uk/news/article-2324106/Coca-Cola-formula-Georgia-man-says-secret-1943-recipe-Coke.html [于 13 年 06 月 13 日访问]。
[4] 黑客行动:简史。www.foreignpolicy.com/articles/2013/04/29/hacktivism [于 13 年 06 月 13 日访问]。
[5] 匿名者:从快乐到集体行动。mediacommons.futureofthebook.org/tne/pieces/anonymous-lulz-collective-action [于 14 年 05 月 21 日访问]。
[6] 黑客行动与政治参与的未来。www.alexandrasamuel.com/dissertation/index.html [于 13 年 06 月 18 日访问]。
[7] 认识你的迷因:索尼行动。knowyourmeme.com/memes/events/operation-sony [于 13 年 06 月 18 日访问]。
[8] 匿名者的行动:索尼是双刃剑。www.thetechherald.com/articles/Anonymous-Operation-Sony-is-a-double-edged-sword/13239/ [于 13 年 06 月 18 日访问]。
[9] 安全专家:PlayStation Network 突破是有史以来最大的之一。content.usatoday.com/communities/gamehunters/post/2011/04/security-experts-playstation-network-breach-one-of-largest-ever/1#.UcD1ufZgahg [于 13 年 6 月 18 日访问]。
[10] LulzSec:他们做了什么,他们是谁,以及他们是如何被抓住的。www.guardian.co.uk/technology/2013/may/16/lulzsec-hacking-fbi-jail [于 13 年 6 月 18 日访问]。
[11] LulzSec 领袖背叛匿名者。gizmodo.com/5890825/lulzsec-leader-betrays-all-of-anonymous [于 14 年 5 月 21 日访问]。
[12] 严肃的事务:匿名者挑战科学教会(并且毫不畏惧)www2.citypaper.com/columns/story.asp?id=15543 [于 14 年 5 月 21 日访问]。
[13] Pastebin 超过 1000 万“活跃”粘贴。techcrunch.com/2011/10/26/pastebin-surpasses-10-million-active-pastes/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 [于 14 年 5 月 21 日访问]。
[14] 安全专家揭示赛里斯黑客攻击。web.archive.org/web/20061211145201/http://news.zdnet.com/2100-1009_22-5969516.html [于 14 年 5 月 21 日访问]。
[15] 爱沙尼亚的网络战教训。www.usnews.com/opinion/blogs/world-report/2013/01/14/estonia-shows-how-to-build-a-defense-against-cyberwarfare [于 13 年 6 月 23 日访问]。
[16] 法律专家:对伊朗的 Stuxnet 攻击是非法的“武力行为”。www.wired.com/threatlevel/2013/03/stuxnet-act-of-force/ [于 13 年 6 月 22 日访问]。
[17] 美国政府实验室是否帮助以色列开发 Stuxnet?www.wired.com/threatlevel/2011/01/inl-and-stuxnet/all/ [于 13 年 6 月 22 日访问]。
[18] 赛里斯黑客针对律师事务所获取秘密交易数据。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 13 年 6 月 22 日访问]。
[19] APT1 三个月后 - 显著受影响,尽管活跃并在重建中。www.mandiant.com/blog/apt1-months-significantly-impacted-active-rebuilding/ [访问日期:13 年 6 月 22 日]。
[20] 网站对黑客进行排名,并授予吹嘘权利。www.nytimes.com/2011/08/22/technology/web-site-ranks-hacks-and-bestows-bragging-rights.html [访问日期:13 年 6 月 23 日]。
[21] 大圆顶(Bldg. 10)的黑客攻击。hacks.mit.edu/Hacks/by_location/great_dome.html [访问日期:14 年 5 月 21 日]。
第三章:数据泄露成本
比尔·加德纳 (美国西弗吉尼亚州亨廷顿,马歇尔大学)
摘要
数据泄露会带来成本。在某些情况下,数据泄露的成本是如此之大,以至于可能导致公司破产。数据泄露的成本来自于行业和监管罚款,如 HIPAA/HITECH 和 PCI DSS。其他成本来源于业务损失、州通知法和修复导致泄露的安全问题。跟踪与数据泄露相关的成本的组织包括 Ponemon 研究所、赛门铁克和 Verizon。
关键词
Ponemon 研究所
违规通知法
HIPAA/HITECH
PCI DSS
成本
Ponemon 研究所
有许多机构追踪与数据泄露成本相关的信息,但唯一将全部时间和预算都用于跟踪数据泄露成本的组织是 Ponemon 研究所 (www.ponemon.org/)。根据当前的研究,数据泄露的每个记录的成本在美国平均为 194.00 美元。 Ponemon 研究所与赛门铁克合作,于 2013 年 5 月发布了 “Ponemon 数据泄露成本 2013” [1]。该报告涵盖了全球收集的数据,并进一步按国家/地区进行了细分。
HIPAA
在美国,泄露的成本包括支付监管罚款、通知受影响方的义务以及由于客户信任的丧失而导致的业务损失。仅违反 HIPAA 而导致的罚款金额已达数百万美元 [2]。
受覆盖实体被定义为处理医疗记录的组织,包括医生、诊所、牙医、心理学家、按摩治疗师和养老院。该定义还包括医疗、牙科和视力计划等健康计划,以及处理健康数据(如计费和收款公司)的医疗保健清算所 [3]。
受覆盖实体受《HIPAA 安全规则》约束。《HIPAA 安全规则》适用于处于电子状态的任何受保护健康信息(PHI)。并非所有《安全规则》的规格都是必需的。有些是“可处理的”,这意味着受覆盖实体可以进一步评估规格是否对组织合理和适当。可处理并不意味着规格是可选的;而是意味着它是否合理基于组织的规模和构成。无论是必需还是可处理,您都应仔细记录实施选择 [4]。
完成并于 2005 年 2 月 20 日发布的《HIPAA 安全规则》的合规截止日期是 2005 年 2 月 21 日。如果您需要遵守《隐私规则》或《电子交易和代码集规则》,您就是“受覆盖实体”的一员,并且必须遵守《安全规则》。
卫生和人类服务部(DHHS)通过说明规范是否“必需”或“可处理”为覆盖实体提供了灵活性。
如果规范是“必需的”,则覆盖实体必须按照安全规则中规定的规范实施该规范。
如果规范是“可处理”的,则覆盖实体必须执行以下操作:
- 评估规范在其环境中是否是合理且适当的安全措施,并且可能有助于保护实体的电子受保护健康信息。
- 实施规范或说明为何不合理和适当,并实施等效替代措施(如果合理和适当)。
实施规范
(R)= 必需,(A)= 可处理
行政保障
标准
安全管理流程
■ 风险分析(R)
■ 风险管理(R)
■ 制裁政策(R)
■ 信息系统活动审查(R)
分配安全责任(R)
工作人员安全
■ 授权和/或监督(A)
■ 工作人员审批程序(A)
■ 终止程序(A)
信息访问管理
■ 隔离医疗清算功能(R)
■ 访问授权(A)
■ 访问建立和修改(A)
安全意识和培训
■ 安全提醒(A)
■ 防恶意软件(A)
■ 登录监控(A)
■ 密码管理(A)
安全事件程序
■ 响应和报告(R)
应急计划
■ 数据备份计划(R)
■ 灾难恢复计划(R)
■ 应急模式操作计划(R)
■ 测试和修订程序(A)
■ 应用和数据重要性分析(A)
评估(R)
业务合作伙伴合同和其他安排
■ 书面合同或其他安排(R)
物理保障
标准
设施访问控制
■ 应急操作(A)
■ 设施安全计划(A)
■ 访问控制和验证程序(A)
■ 维护记录(A)
工作站使用(R)
工作站安全(R)
设备和媒体控制
■ 处置(R)
■ 媒体再利用(R)
■ 责任追究(A)
■ 数据备份和存储(A)
技术保障
标准
访问控制
■ 独特用户标识(R)
■ 应急访问程序(R)
■ 自动注销(A)
■ 加密和解密(A)
审计控制(R)
完整性
■ 验证电子 PHI 的机制(A)
个人或实体身份验证(R)
传输安全
■ 完整性控制(A)
■ 加密(A)
组织保障
标准
业务合作伙伴合同或其他安排(R)
团体健康计划(R)
政策和程序(R)
文档
■ 时间限制(R)
■ 可用性(R)
■ 更新(R)
虽然根据 HIPAA 安全规则,“安全意识和培训”是“可解决的”,但这并不意味着您的组织可以不做。在许多情况下,当您审查与您的组织特定的法规时,您会发现法规只涉及到了最低限度的使您的组织安全所需的内容。一再强调遵守政府和行业法规本身并不会使您的组织安全,但它将为您节省大量资金,并且通常是建立成熟安全程序的重要第一步。
我的前同事 Bob Coffield 在他的“医疗法律博客”上涵盖了与违反 HIPAA 安全规则有关的最近一次大额罚款。
“HHS 民权办公室(OCR)宣布与田纳西州蓝十字蓝盾公司(BCBST)达成了 150 万美元的和解,涉及潜在违反 HIPAA 隐私和安全规则的情况。根据 OCR 新闻稿,OCR 的执行行动是根据由 HITECH 规定的 HIPAA 的新违规通知规则实施的,首次被报告为违规通知规则的执行行动。”
这次违规行为涉及在 BCBST 在田纳西州租用的设施中被盗的 57 个未加密的计算机硬盘。这些硬盘包含大约 100 万个个人的受保护健康信息。BCBST 向 OCR 根据 HITECH 规定和要求报告潜在违规行为。新闻稿指出,OCR 的调查发现,BCBST 未能实施适当的行政保障措施来充分保护位于租赁设施中的信息,未能根据操作变更进行所需的安全评估。此外,调查显示未能实施适当的物理保障措施,未能具备足够的设施访问控制;这两项保障措施都是 HIPAA 安全规则要求的。
支付卡行业数据安全标准(PCI DSS)
另一个涵盖数据泄露的法规是 PCI DSS。
“支付卡行业数据安全标准(PCI DSS)是为处理主要借记卡、信用卡、预付卡、电子钱包、自动取款机和 POS 卡的组织而制定的专有信息安全标准。”
由支付卡行业安全标准理事会定义,该标准旨在加强对持卡人数据的控制,以减少通过其曝光造成的信用卡欺诈。合规性验证是每年进行一次的——由外部合格安全评估员(QSA)进行,该评估员为处理大量交易的组织创建合规性报告(ROC),或者由小型交易量公司进行自我评估问卷(SAQ)[7]。
对许多人来说,PCI DSS 是对 TJX 数据违规事件的一种反应,当时这是历史上规模最大、成本最高的违规事件。据称,犯罪分子在这次违规事件中获取了 4500 万客户的信用卡和借记卡号码。总成本,包括诉讼费用和修复导致违规事件的问题的成本,估计为 2.56 亿美元。
根据 2012 年 Verizon 数据违规调查报告,2011 年经历数据违规事件的商家中,有 96%未遵守 PCI DSS。根据 2011 年数据违规成本研究,2011 年与安全违规事件恢复相关的直接成本平均为每个被盗记录 194 美元。由于典型的违规事件涉及数万条记录,结果可能对企业造成灾难性影响。
HIPAA 和 PCI DSS 只是可能影响您的组织的法规的两个例子。熟悉您所在领域的法规,并确保将其纳入您的安全意识培训中。
构建信息安全感知程序(一)(2)https://developer.aliyun.com/article/1507707
