強大的加密金鑰是資料防護的關鍵


強大的加密金鑰是資料防護的關鍵
強大的加密金鑰是資料防護的關鍵

對大多數IT部門來說,資料安全已經是當務之急,因為有許多公司變成了資料外洩入侵的受害者。隨著網路攻擊比以往任何時候都更為普遍,而內賊外洩事件也仍是重大威脅時,制定全面性的安全政策並且實施最新的資料防護技術已經成為企業的關鍵任務。

 

雖然駭客不斷地進化並且發展出對企業更加針對性,更複雜的攻擊,新式的資料加密技術可以幫助IT部門保護關鍵資訊,以降低風險並且遵守法規要求。一種受歡迎的資料防護方式是加密,可以在入侵外洩事件發生時,讓公司不會有被未經授權的第三方檢視敏感資料的風險,以防止重大損失,也可以自動化法規遵守的任務。 有了加密,即使被網路犯罪分子或未授權員工拿到,資料還是受到保護的。

 

但是,僅僅使用加密技術是不夠的。根據最新的Computerworld報導,公司必須建立強大的加密金鑰,並且保護好數位權利,不然即使有加密,關鍵資料也可能會外洩。

 

「被美國國家標準與技術局(NIST)所指定的大多數標準加密方法或演算法都是好的,問題是你如何實作,以及如何做金鑰管理。」Forrester研究機構的分析師 – John Kindervag如此說。「不要用電子郵件來回地寄送金鑰,也不要用像Active Directory這類東西來儲存金鑰。」

 

Kindervag補充說,企業應該將金鑰管理交給專長於設計強化、安全金鑰的專業人士,而不是像現在這樣,有許多公司將金鑰管理外包給第三方供應商。他說公司不應該建立自己的金鑰。

繼續閱讀

是時候回收舊電腦和手機,但裡面的資料要清除乾淨了嗎?

是時候回收舊電腦和手機了,各種活動來提醒我們擁有一個健康乾淨的環境有多麼重要。

對於中小企業來說,這也是個好時機去考慮如何以對環境負責的方式來處理舊電腦。有許多可行的方式,像是捐贈出去、翻新使用或是資源回收。但在這裡還有些其他的責任,特別當這些舊電腦或設備上可能有客戶的資料時。

可行方案

你可以將電腦、手機、印表機或其他設備捐贈給慈善機構,送給二手回收商,或是重新整理之後繼續在公司內部使用(比方說用舊電腦作為上網機),或是可以將這些設備送去回收。大多數主要手機和電腦製造商都有提供回收計劃,讓你只要付一小筆錢就可送回製造商回收,在許多地方甚至是免費的。

你的責任

你有責任確保你的電腦或手機各部分都被妥善的處理,這代表著實體的部分跟所儲存的資料。

實體機器:如果直接丟棄的話,電腦和手機裡所含有的稀有金屬和化學物質可能會污染地下水。回收和再利用不僅可以保護環境,也可以減少挖掘新的金屬。

你的資料:至於你的資料,身為公司所有人的責任就是那些公司的機密資料,包括客戶資料。不當處理舊電腦可能會讓客戶資料陷入危險,也會讓你違反各種聯邦法規,像是HIPAA或沙賓法案,就看你是什麼行業。在你處理舊電腦前,先確認你清楚你的行業所需要符合的資料保護規定。

捐贈給慈善機構:第一步,先想想你是否要捐贈給慈善機構。如果要的話,先打通電話,確保你所選的慈善機構可以處理捐贈的電腦。不是每個慈善組織或非營利組織都有專業人員可以將你的電腦重新整理到可用狀態或是進行妥善的處理,所以最好先確認這點之後再動作。

清除磁碟資料:無論你是要捐贈給慈善機構或是將電腦直接交給回收商,最好都要先備份你的硬碟,然後將資料從電腦裡刪除之後再拿出公司。首先,將所有的重要資料備份到外接硬碟、線上備份或是其他儲存設備。然後徹底清除硬碟資料。這並不僅僅是將檔案送進資源回收桶再清空它而已。你需要所謂的「磁碟清理軟體」,顧名思義地,它會徹底刪除或覆蓋在磁碟上的所有資料。

如果要捐贈手機也是類似的作法。就跟電腦一樣,你要先備份在手機上所儲存的重要資料。然後回復到出廠設定。如果你不知道怎麼做,你可以參考使用手冊,或將手機拿回原本購買的商店。

轉賣:如果你想要回收點錢,那可以在網路上將手機或是電腦賣掉,特別是當這些設備都還算是新,還有在市面上銷售的款式。你的手機或電腦必須狀態良好,所有的原廠配件都還在(充電器、電池、連接線等)。務必先確認買方是擁有良好信譽的。而且當然,在你的設備易手前要先備份資料,然後加以徹底清除。

《資料外洩》十大員工危險行為 ~員工行動化可能帶來的資料防護災難 [含資料圖表]

在資訊安全鏈之中,人是最薄弱的環節。

即使擁有最嚴格的防護和最先進的設備,公司的關鍵資料還是會有被竊取的風險,特別是當你的員工沒有警覺到(或更糟的,不在意)他們所造成的安全風險。透過預防措施可以防止資料外洩事件。可以保護好電腦設備跟系統以防禦來自外部的攻擊。

儘管如此,企業老闆還是要知道人是資料防護裡最重要的一個因素。

為了讓大家可以更了解它的重要性,趨勢科技和研究單位 – The Ponemon Institue合作來讓企業主可以了解這個問題以及解決方法。你可以到這裡來看看我們共同合作的報告摘要。除了這份報告之外,還有一些重要的文章會對你有幫助:

人為因素:資料防護裡最脆弱的環節

公司最重要的資產是員工,但這同時也可能是最脆弱的一環。特別現在是強調行動資訊,隨時連線以加強生產力的時代。

 員工的疏忽讓公司陷入風險。

 >78% 的公司曾經在過去兩年內遭受至少一次的資料外洩事件。

雖然現在的網路犯罪日漸猖獗,只有 8% 的公司最後發現資料外洩的主因來自外部攻擊。

 員工行動化可能帶來災難。

員工行動化可能帶來災難
員工行動化可能帶來災難

 

 前三大資料外洩原因

  1. 35% – 筆記型電腦或是其他行動裝置遺失
  2. 32% – 第三方問題造成
  3. 29% – 系統故障

35% 的公司發現筆記型電腦或行動裝置遺失是資料外洩的主因。其中有56% 發生時,員工他們的筆記型電腦、智慧型手機、平板電腦或其他行動裝置存放有機敏資料。

員工不會回報帶有資料的行動裝置遺失事件。

只有 19% 的員工會自動回報資料外洩事件。
56% 的公司承認資料外洩事件都是無意中發現的。

 員工不會回報帶有資料的行動裝置遺失事件。

 十大員工危險行為 

  1. 透過不安全的無線網路上網
  2. 沒有將非必要但機密的資料從電腦中刪除
  3. 將密碼分享給別人
  4. 在不同的網站或線上帳號使用相同的名稱密碼
  5. 使用隨身碟儲存機密資料卻沒有加密 繼續閱讀

數位時代的隱私問題 但誰是資料的主人

在網路上,對於隱私權的擔憂是一直存在的,而最近的新聞事件將這問題更加的推到眾人面前。

儘管有許多團體(包括了法國歐盟的監管單位)都加以反對,但在本月早些時候,Google開始實施「新」的隱私權政策。新的隱私權政策讓Google可以整合使用者在所有服務間的資料,這是之前沒有過的。根據Google的說法,這是為了「更加簡單直覺的Google體驗」。

不只是搜尋引擎有隱私權的問題。在二月初,流行的行動軟體PathHipster被發現會將使用者的通訊錄上傳到他們的伺服器。後來iOSAndroid也都被發現在未經授權時,就會讓應用程式可以存取使用者的照片。

到目前為止,還沒有一套讓企業在握有我們的資料時,可以遵循以及負責的準則。基本上,當企業能夠存取我們的個人資料,並且將之存放到他們自己的設備來加以處理時,那對隱私的後果就可以想見了。

今年二月,許多廣告網路和龍頭網路公司,像是AOLGoogle,微軟和雅虎都同意實行「請勿追蹤」功能:基本上,它會讓網站(還有廣告網路)停止追蹤使用者。這也封鎖了廣告商的某些做法,像是個性化廣告。(我們之前在電子書 小心保護線上隱私」中討論過個性化廣告。)

這是根據白宮所提出的「消費者隱私權法案」,這份白皮書包括的各項原則,老實說都是些基本常識:他們讓使用者的線上資料得到和不是放在網路上的資料一樣的保護。從根本上,美國的做法是先呼籲網路公司和產業界去自願實行這些規範,然後再由監管單位來作強制執行。

這是否意味使用者再也不需擔心自己的隱私問題,而廣告商和網站也不會再濫用他們對使用者所知的一切?可悲的是,當然遠非如此。

請勿追踪宣言並沒有任何東西會被立刻實施。要如何實施請勿追蹤,而且它到底該如何運作,這些問題都還尚未完全清楚。總之,需要一點時間讓請勿追踪變成使用者可以真正去選的功能。 繼續閱讀

從荷蘭 ISP-KPN被入侵事件,看八年未更新的系統之後遺症

 作者:趨勢科技資深分析師Rik Ferguson

 2月荷蘭的大ISP – KPN宣告他們的網路被入侵了。KPN公司是在今年1月27日首次發現這次的入侵事件,也從那天開始和國家網路安全中心(Nation Cyber Security Centre)、監管單位 – 獨立郵政與電信管理局(OPTA)、資料保護局(Data Protection Agency)、經濟農業及創新部(Ministry of Economic Affairs, Agriculture & Innovation)、公共安全與司法部(Ministry of Justice and Safety)還有檢察官一起努力的控制住狀況和追踪入侵者。

 在一月時,他們決定不向一般民眾公佈這起入侵事件。很明顯地,有兩個可能原因來作出這個決定:為了增加調查成功的機會,也怕駭客會因為知道被發現而故意做出破壞。 

 在最初的公告裡,KPN承認有部分客戶資料可能會受到影響,但表示提供信用卡資料或密碼的伺服器並沒有受到損害。

而在KPN宣告後一天,一份包含537個KPN帳號的清單(包含名稱、地址、電子郵件地址以及密碼明文)被張貼到Pastebin上。我們並不清楚這份資料是從哪裡來的,而文章標題很簡單:「KPN的入侵證明,KPN houdt vol: geen klantgegevens gestolen」,後面兩句翻成中文就是「KPN堅持:沒有客戶資料被盜」,所以讓人覺得很明顯這兩起事件是有關連的。

因為這次資料外洩事件,KPN立刻關閉了兩百萬個一般使用者的電子郵件帳號(以作為預防措施)。花了整整25個小時,KPN才在週五晚上恢復使用者的電子郵件外寄服務,而一直到星期六,才開始分階段恢復電子郵件收信服務。同時KPN也提供額外頻寬和服務讓使用者可以在線上完成密碼重置程序。企業服務並沒有影響,雖然企業用戶也被強烈建議更改密碼。直到禮拜天中午,已經有超過十萬名客戶這樣做了。

 但從這文章裡,卻很清楚地知道這537個使用者帳號和這次攻擊並沒有關連。實際上,這些使用者帳號來自今年早些時候網路商店babydump.nl被偷資料中的一部分。這些被公佈的資料已經至少超過一年了,雖然有些名單上的受害者還不知道他們資料已經被竊或外洩了。 

KPN正在進行的調查中,根據承認發動攻擊的駭客所提供的資訊,入侵成功的原因是軟體未更新。根據這位駭客表示,第一次被入侵的系統是SunOS 5.8加上patch 108528-29,這已經是2004年的版本了,而原廠在下個月就不再支援SunOS 5.8了。此外,駭客們也宣稱已經至少下載了16GB的資料,而他們隨後也都銷毀了。並且在他們入侵的系統上,他們可以個別地控制客戶的網路連線。

KPN看起來有很大程度地同意駭客所言,他們聲明中說:「有許多專家在分析這次的入侵事件中表示,KPN使用了嚴重過時的系統,而且也沒有定期去更新系統」。荷蘭KPN的協理 – Joost Farwerck說:「當然,在我們這一行的變化非常快。也就是說,在最近幾個星期的研究裡,我們已經發現網路IT系統的維護並沒有一直做到最佳化。我們要吸取這個教訓,以提供我們的客戶更好更安全的服務。」 

如果Sony發生的慘劇還不夠,這裡又是另外一個血淋淋的教訓。有弱點和未即時更新的系統,如果沒有得到充分保護前是不該連上網路的。要去找出特定伺服器上的作業系統和應用程式版本是一件簡單的事情,而要去找出可用的漏洞更是容易。

 想要讓企業用戶可以將系統都做到即時更新可能有點不切實際。但是8年沒更新作業系統和應用程式,導致系統未受防護,這還是不可原諒的。就算是放在內部網路,在佈署好更新之前,企業還是需要利用有效的主機入侵防禦系統來對已知漏洞做好防護。佈署更新應該要盡可能的即時,不要成為下一個KPN。 

如果你認為你的帳號可能受到這次入侵的影響,可以使用這裡的密碼重置服務。雖然看起來似乎因為負載過重,所以我現在無法連上。你也可以參考我早些時候關於密碼所提出的建議(中文請參考:關於密碼千萬不要做的四件事與密碼設定小秘訣),並且避免重複在不同網站使用同一個密碼。

 @原文出處:KPN: The stolen data that wasn’t and the 8 year-old that was to blame

 

◎ 歡迎加入趨勢科技社群網站