ACM通信

BLOG@CACM

又一次重大数据泄露，但这一次会有所不同吗?

杰森的香港
2014年12月11日
评论(1)

我写这个关于数据泄露的博客已经有一段时间了，而且必须不断更新，因为每隔几周就会有新的“有史以来最大的黑客”在新闻报道中出现。它从Target开始，然后是eBay，然后是Home Depot，然后是JP摩根大通，然后是Celebgate，然后是K-Mart。现在，有报道称索尼公司有多达100 TB的公司数据被盗，可能包括内部备忘录、健康记录、薪水和未上映电影的视频。

这些数据泄露相当于软件工程中的著名事件塔科马悬索桥1940年，这座城市轰然倒塌。最糟糕的是，这些数据泄露只会变得更糟。下一次大规模袭击已经开始了。只是还没有公开而已。

我想每个人都同意这些数据泄露是非常非常糟糕的。让我惊讶的是我们社区的反应冷淡。例如，在塔科马海峡大桥倒塌后，成立了一个联邦委员会来调查倒塌的原因。它也导致了大量的空气动力学和共振的研究。也许最重要的是，这次坍塌已经深深地烙进了每一个工科学生的脑海里，作为一个巨大失败的例子，但也是一个他们对社会负有责任的例子，以确保他们把事情做好。

但是，除了肩负解决问题任务的网络安全专家，这些灾难并没有真正引起我们学术界、工业界或公共政策人士的共鸣。我们似乎没有同样的紧迫感来显著改善我们如何构建软件，研究新型的网络安全流程和工具，或者教育系统管理员和学生。我们似乎没有从这些一再发生的灾难性失败中吸取教训。

虽然对于我们的社区缺乏回应有很多解释，但阻碍我们作为一个社区的一件事是完全缺乏关于入侵是如何发生的信息。索尼这次泄密事件可能会遵循几乎所有其他泄密事件一样的模式，即不会向公众公布详细信息，只有各种会议走廊里的谣言和窃窃私语。当然，我们经常被要求不要重复别人告诉我们的话。

在过去的十年里，我一直在网络安全领域工作，无论是在研究领域还是在工业领域，我完全能够理解人们不愿分享信息的原因。首先，分析和理解发生了什么需要大量的时间，这些时间可以花在限制损失和防止未来的攻击上。其次，没有人愿意透露已经存在的防御措施和已经实施的新防御措施，因为这可能会给新一波攻击者提供信息。这种通过模糊实现的安全是有意义的。第三，这些漏洞通常涉及关于一个组织拥有什么能力以及如何运作的专有信息。第四，不停地谈论你所在公司的一项公开的失败是痛苦和尴尬的。

我可以同情所有这些理由。然而，缺乏全面的信息最终伤害了我们所有人。虽然有一些很好的安全年度报告(如Verizon数据泄露调查报告，思科年度安全报告,微软的安全情报报告)，这些报告主要提供有关网络安全的一般统计数据和趋势，没有提供足够具体的细节或关于攻击的见解。

如果我们不清楚攻击媒介是什么，攻击者使用什么策略，以及什么样的防御有效或无效，我们如何设计更有效的对策，组织更好的响应，或培训下一代安全专业人员?

举几个例子，有多少入侵是由于内部攻击?有多少攻击绕过了自动防御系统?有多少是从社会工程攻击开始的?有多少是由于糟糕的编程实践或错误的配置?为什么没有更早发现这些攻击?也许最重要的是，作为个人和组织，我们应该做什么?我们需要什么样的最终用户培训，以便员工个人能够保护自己和他们的组织?组织应该采取什么样的自动化对策?为了更好地检测和应对这类攻击，我们应该为什么样的基础设施做出贡献?

我们应该瞄准的一个很好的例子是曼迪昂特的APT1报告该报告详细分析了一个特定黑客组织对大量组织的攻击。该报告包括用于社交工程的电子邮件的具体例子，对一些恶意软件的分析，以及该组织使用的具体策略。

事实上，我甚至建议建立一个类似美国国家运输安全委员会的机构，专门调查我们的铁路、高速公路和航空系统的重大事故https://www.ntsb.gov/investigations/reports.html)．目标不是追究责任，而是确定入侵的可能原因，评估程序和网络安全系统的有效性，并提出建议。

实际上有很多网络安全组织，包括政府和行业，包括ncta、NCSA、APWG、US-CERT、IC3和NSA的信息保证部门，尽管这些组织有不同的任务和激励结构，而且不倾向于发布关于具体事件的报告。我的建议是，一个组织可以调查大规模失败的原因，或者聚合几个关联攻击的结果，从而提供更多关于攻击者模式的洞见(就像前面提到的Mandiant APT1报告)。最重要的是，该组织可以提供某种程度上经过净化但公开的报告，对这些事件是如何发生的提供更多的洞察，以便我们作为一个社区可以从我们的错误中吸取教训，找出前进的更好方法。

特别感谢Idris Hsi将网络安全故障与塔科马海峡大桥联系起来。

---

评论

---

显示1评论