沒有BAT3級的應急響應中心,網際網路公司該如何應對資料洩露事件?
有一句流行的雞湯文大家都耳熟能詳——我們走的太快,靈魂都跟不上了。這兩天網易郵箱的資料洩露事件,又一次將我們的關注從“爆發性創新與指數級增長”拉回來審視當前糟糕的網際網路基礎環境,也許我們業務走的太快,安全已經跟不上了。
具體有多糟糕可參見許多安全公司/機構的報告資料,直接參與了CSDN拖庫事件的範凱老師在網易事件後如此說:
得到了公安的信任,我比較深入的參與了後來的整個調查過程,親手鑑定了很多被拖過的庫。其中最令人歎為觀止的是某CEO擅長炒股的上市公司,3億多賬號被拖光。此案繳獲的戰利品之一:各個知名網際網路公司使用者庫,壓縮後的檔案高達20多個TB的硬碟儲存容量,歎為觀止,除了BAT這三家,沒有漏網之魚,或多或少被拖。
總的來說,你認為的個人資訊包括各種賬號、手機號70%以上機率已存放在黑客的社工庫;你所知道的BAT3以下的網際網路企業安全基本都或多或少存在安全問題。
然而對於企業安全,普遍的觀點是,100%絕對安全防護是不可能的,考慮到外部黑客日益專業化和組織化,網際網路企業天然的開放性以及業務壓力,粗心的內部員工可能一次郵件點選都可能造成一場安全事故。一位安全主管坦陳:即使有再多的資源和時間,也不能絕對保證不被侵入。
所以,當黑客攻擊事件是不可避免的,預防和響應是否得就反映了企業應對風險和危機的能力水準。
既然如此,我們就需要將重點放到積極應對上,重點在於檢測和響應,有效的響應可中斷黑客的攻擊,讓損失降到最低,並傳達給組織、客戶、合作伙伴、社群正面印象,而拙劣的應對只會讓情況更糟,公司往往得花費數年的功夫來挽回。真正的災難是檢測失效,事後很長時間企業才從第三方知道入侵事故,而且攻擊者還駐留在系統內部。
如果還沒有被黑客攻擊過,你需要在內部儘早推動成立資訊保安防備計劃
一次黑客攻擊導致的資料洩露事件一般會導致數以百萬級的損失,預先建立資訊保安防備計劃可在事件突發後及時挽救,快速響應。一般要求CXO級別的參與以保證持續的優先度。一個公司就像一個國家,請參考:
2014年2月27日,中央網路安全和資訊化領導小組宣告成立,在北京召開了第一次會議。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長;李克強、劉雲山任副組長。
防備計劃的首要在於提前設定一支跨部門協同的資訊保安響應小組,並明確每個人的角色和職責,包括但不限於研發負責人、IT運維&安全、PR市場、法務、使用者運營等。資料表明,企業內如有設定CISO職位並由其來負責應急響應小組,資料洩露的損失可有效降低35%。該小組的工作主要包括制定應急響應計劃,保證應急預備機制的有效性,一旦出現事故可以快速實施並對效果負責。
另一項重要工作還包括在公司內部推動資訊保安的培訓教育、安全規範的落實,提前演練並定期審查,具體工作包括:
1)將資料安全規範落實到員工的日常工作行為中。
2)設定資料安全以及移動裝置等使用規範,並保持定期審查和更新。
3)引入合適的安全軟體或服務並跟蹤效果。
4)為資料訪問設定許可權,從軟體和硬體兩種手段來減少核心資料的訪問通道。
5)為員工安全行為建立報告和處理措施。
洩露事件一旦發生,高效響應的三個注意項:
國外安全公司Experian提出的資料洩露處理流程
聽一些真正處理過攻擊事件的安全主管描述事件爆發時的感受,那是一種夾雜著“憤怒”“悔恨”“緊張”“同仇敵愾”等情緒。在公司中一般不被關注的IT運維部門首當其衝的遭到質疑,一道道指令和緊急會議,再加上外界媒體的聚焦讓所有人都意識到我們被攻擊了,這是一場戰爭。
但要做好應急響應,首先就要求團隊和負責人都冷靜下來,才能專業處理。這時,提前準備、統一認知的資訊保安響應防備計劃就成為可高效響應的關鍵因素。
首先,需召集應急響應小組協同工作,基於防備計劃制定合適的響應工作步驟,快速定位排查洩露來源,修補安全薄弱環節和漏洞,最小化洩露所造成的危害。由於企業規模、業務、資源的不同,具體解決方式也不同,這裡只提出三個注意項:
1. 第一小時處理事項checklist
就像刑事案件一樣,安全事件的處理也是越早期越好。防備計劃的一個重要組成部分叫做“第一小時處理事項”checklist,在事故爆發第一時間,實質進入深入修復工作之前,有一些標準化的應對以防止再次失誤,這些事項包括但不限於:
1)開始對事件進行日期時間記錄,包括洩露事件發生和開始響應的時間,以及後續的進展。
2)事件警告同步到響應小組的每個人,包括外部的專家和資源,開始啟動執行防備計劃。
3)保護有可能成為後續證據的現場線索。
4)防止其他資料丟失,下線受影響的主機,但在取證人員到達前不要關閉。
5)記錄資料洩露相關的所有相關資訊,包括髮現者、報告者、影響資料的型別、洩露範圍程度、洩露路徑或可能原因、影響系統及裝置等。
6)如有可能,對直接發現並報告人進行充分的溝通交流,瞭解詳情,並做記錄。
7)事件報告發布前,向早期涉入人員諮詢以避免資訊遺漏。
2. 快速但慎重的釋出對外事故宣告,並保持和外界的透明對話。
當資料洩露事件發生時,不僅是內部忙做一團,也將公司置於外界的探照燈下。這時,自以為要集中資源精力把問題先修復好,然後再通告外部的方式最不可取。溝通一定要及時坦誠透明,如果你只是一味否認並試圖掩飾,只會延長媒體的質疑最終有損你的品牌。
對外事故通告一般需要專業PR和法務的參加,如有使用者運營方面的資深員工參與更好,最終有由響應小組來稽核決定釋出。一篇專業的事故通告一般要包括事故調查的清晰原因和當前狀況說明,對使用者/客戶的影響,以及解決方式,並附有一個制定的聯絡方式保證溝通。
事故通知還需要注意一定要站在使用者/客戶價值的立場而不是公司的立場來粉飾問題,所用語句要清晰易懂,儘可能不適用專業術語,最重要的是讓使用者看到你的道歉、道歉、誠懇道歉。
3. 引入專業可靠的外部安全供應商和專家作為資源支援
大家還記得前幾月錘子手機發佈會上的攻擊風波,錘子科技研發總監池建強談及此事時,曾提及騰訊大禹團隊有提供支援援助。網際網路企業的安全力量一般是和風險極不相稱的,在平時就積累專業可靠的、經驗豐富第三方安全服務商,一旦出現安全事故就可以讓其加入應急響應小組,對事故解決有時可以起到立竿見影的作用,網際網路公司考察第三方安全服務商,在安全專業能力之外,還需要考察該團隊是否有一定的業務研發經驗,這樣溝通合作會更加順暢高效。
如果你真正想做好安全,這還只完成了不到20%
一次資料洩露事故總算應對過去,你痛定思痛,打算紮紮實實將安全做好,讓團隊內研發運維負責人提交一個系統解決方案,深入瞭解後卻發現,安全防護工作如此複雜瑣碎,投入如此持續巨大,你開始真正觸及中小企業做資訊保安的最大痛點——安全服務還是一個奢侈品。
構建企業安全能力前需清楚的幾個問題:
1、你對業務方向和線上資產價值是否有清楚的認知,這決定了安全等級和投入。
2、你的線上業務是否執行在不同形式的基礎設施,如公有云、混合雲或私有云?
3、你的業務是否經常變化,變化所隨帶的資源如何保證統一安全策略?
4、當前安全狀況如何?業務系統內部是否安全?
5、當前公司的安全團隊及資源如何,未來是否有固定比例投入?
在這裡,需提醒各位的是雲端計算興起正在推動基礎設施的巨大變化,為網際網路業務變化提供了強有力支援,企業安全的基礎環境從之前的靜態到動態,已全然不同,實施的複雜度也有指數級提升。當企業開始擁抱網際網路,獲取海量使用者,而且有烏雲這樣的平臺用眾包的力量將將企業安全問題挖掘出來,企業安全問題不再是內部問題,開始變成社會問題。
但長期來看,企業的資訊保安環境一定是越來越好,包括國家相關政策的完善、公眾安全意識的普及提高,當然最主要是安全公司能否以自身的產品技術創新根本性解決這個難題,青藤雲安全有幸在這個大變局來臨之時創立,希望所推出的自適應安全致力於網際網路企業構建全面精準的安全體系,讓企業專注於業務創新與發展,而不必再為這樣那樣的安全問題所煩惱。