解析數據泄漏審計

2014-11-08 21:57:47 大云網　點擊量：評論 (0)

當這家位于美國波士頓的中型制藥公司的IT主管第一次被要求進行數據泄漏審計時，他非常激動，他認為審計將會暴露公司數據泄漏防御系統中的一些問題，然后他就能利用這些審計結果爭取更多的資金部署更好的安全措施

當這家位于美國波士頓的中型制藥公司的IT主管第一次被要求進行數據泄漏審計時，他非常激動，他認為審計將會暴露公司數據泄漏防御系統中的一些問題，然后他就能利用這些審計結果爭取更多的資金部署更好的安全措施。

　　“數據泄漏一直不是大家關注的重點，除非發生重大的泄漏事故，IT人員最大的希望是能夠引起公司領導對數據脆弱性的關注，然后能夠投入更多資金，”這名IT主管表示。

　　但是結果比他預想得更加嚴重，為期15天的審計查出了11000起潛在的泄漏事故以及IT團隊的安全部署方面的嚴重問題。

　　由安全咨詢公司Networks Unlimited公司進行的這次審計主要檢查了公司的出站電子郵件、FTP和web通訊，審計的目標主要是一般財務信息、公司計劃和戰略、員工和其他個人身份信息、知識產權和專利權等方面的泄漏情況。

　　Networks Unlimited公司在企業局域網和防火墻間放置了一個接頭（tap），在外部電子郵件網關和防火墻間放置了第二個接頭。Networks Unlimited公司在兩個服務器上使用了WebSense軟件來監測未加密的通信流量，然后對比公司的正常來分析這些流量。具體的說，Networks Unlimited公司主要是要找出與該制藥公司的內部保密政策、公司信息安全政策、HIPAA法案、SOX法案等相違背的地方。

　　Networks Unlimited公司的高級工程師Jason Spinosa表示，當他為這次審計選擇標準時，他通常會建議公司根據公司的安全風險來確定政策設置。

　　當Spinosa發現有超過700多個關于關鍵信息（社會安全號、定價、財務信息和其他違背PCI標準的關鍵數據）的數據泄漏，他還發現超過4000多處與HIPAA法案以及國防部信息保障認證規則相違背的嚴重問題。

　　雖然該公司從技術上來看不完全屬于HIPAA法案管制的范圍，因為主要是由第三方處理所有的個人身份信息，IT主管表示他們希望最終能夠實現自己公司來管理那些信息。此外，Spinosa表示，哪些不屬于HIPAA范圍的公司應該根據HIPAA的基本準則來審計，因為存在潛在的敏感數據泄漏。

　　難以置信的是，這次審計發現了超過1000起未加密的密碼傳輸，例如訪問個人帳戶、web電子郵件帳戶的密碼等。Spinosa表示這個結果很嚴重，因為很多員工喜歡在多個系統使用相同的密碼，“這會使內部應用程序變得非常不安全。”

　　以下是這次審計中發現的最嚴重的泄漏威脅：

　　No. 1：機密的zip文件

　　員工發送的未加密電子郵件中包含明確標記為“機密”的zip附件，盡管該電子郵件的收件人簽署了保密協議，但是所有類似信件都應該被加密。

　　最壞的情況：這封電子郵件可能會被第三方截獲并獲取，這也潛在地違背HIPAA法案，因為明確表明了附件內容的性質。

　　No. 2：機密附件

　　員工向外部供應商發送包含有標記為“機密”附件的電子郵件，該郵件中討論了病人參與臨床實驗的權利和補償問題。

　　最壞的情況：該郵件保護關于未完成的機密文件和可能損害該公司聲譽的信息。

　　No. 3：臨床研究