曾入侵Heartland Payment Systems公司的三名黑客最近被提起诉讼,该事件也再次强调了严格控制企业数据和访问数据的应用程序的必要性。
在这个众所周知的支付处理公司入侵案件中,入侵者利用SOL注入进入Heartland公司的服务器。然后,他们安装网络探查器,这些探查器可以捕获在金融交易中使用的银行卡的数据。这种恶意软件能够逃过多种杀毒程序的监测。人们认为,在交易验证过程中,银行卡数据在解密的一瞬间就可以被这些恶意代码所窃取。这次入侵是从2008年5月开始的,在Heartland公司通过遵从PCI数据安全标准要求不久之后。
虽然网络通过审计遵从了安全标准,但并不能意味着这样做就能一劳永逸。黑客们了解企业使用的安全方法,甚至其他更多的信息,他们也一直在努力寻找攻破这些安全防护的办法。系统管理员需要跟黑客们一样勤奋,时刻检查和监视他们自己的系统,并且了解最新的攻击技术和安全对策。为此,安全团队的工作不是简单地完成一个检查列表或者通过一个审计就可以了,他们需要做的是在数据的整个生存周期中保护网络资源和数据。在本文中,让我们来看一些跟踪数据和应用程序的方法:
1、映射所在的网络:首先,使用一个工具(比如Nmap,一款免费的扫描软件)来搜索和记录在网络中运行的设备和应用程序的信息。然后,把扫描的结果跟一个已知的、可接受的安全基准进行比较。定期的扫描能够帮助你了解网络中的内容和用户,以及他们是否应该出现在网络上。对于任何看起来不正常的事务,安全人员都可以对其进行深入的调查,并集中精力处理潜在的不安全领域。
2、监测异常现象:监测进入网络的流量、穿过网络的流量、流出网络的流量是很重要的。要进行远程偷窃数据,黑客不仅要找到数据,还必须有能力得到这些数据。网络行为分析会持续的监测各种流量,并把监视的结果跟一个正常的流量行为基准进行比较和分析。而且,不正常的行为潜在预示出某些错误。举个例子,如果监视到存在与Heartland公司付款系统相关的、不正常的收费情况之后,Visa和Mastercard会提醒公司可能出问题了。也需要定期的对入侵监测系统(IDS)、入侵预防系统(IPS)和防火墙日志进行分析,以便捕获破坏、异常和可疑活动的迹象。
3、知道数据的存储位置: 数据丢失防护技术(比如Symantec公司的DLP产品系列和McAfee公司的DLP工具)能帮助确保企业熟知自身的信用卡数据和其他关键数据的存储位置,以及敏感数据的使用方式。这种技术能监视和防止数据复制到可移动存储设备中,该技术正是对付内部攻击的关键。。
数据危害事件可以使一家公司的名誉扫地,并且损失的财产往往比部署优良安全策略的费用要多得多。Heartland公司的股票自从入侵事件公布以来一直在下跌,公司还面临着法律诉讼和罚款。不能够跟踪运行在网络中的数据或者应用程序,这让企业面对类似的数据泄漏事件时无能为力,会继续长时间忽视数据泄漏问题。
作为最低限度,网络管理员应该使用像Nmap这样的工具来建立允许在网络上运行的数据和应用程序的详细目录和基准。此外,在数据使用控制方面,随着网络必须支持的通信信道和便携式驱动的暴增,数据丢失防护产品也逐渐成为必须的安全工具。如果你所在的公司还能够为购买网络行为分析工具(这种工具可以监视流量和检测不正常的活动)腾出预算,那就更好了。网络行为分析不同于即时修复(instant fix),它还是一种不太完善的技术。然而,入侵行为不管多么厉害,都是一种不正常的行为,而这种类型的监测是揭示系统是否被攻破的最佳途径之一。