日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在本文中，網(wǎng)絡(luò)安全專家Michele Chubirka談到了她對6月份OPM攻擊事件的看法以及企業(yè)IT團隊?wèi)?yīng)該采取哪些步驟來抵御未來的攻擊。

臨沂網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)公司,臨沂網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為臨沂千余家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)要多少錢，請找那個售后服務(wù)好的臨沂做網(wǎng)站的公司定做！

在今年夏季早些時候，當(dāng)美國人事管理局(OPM)局長Katherine Archuleta在美國國會的聽證會尷尬發(fā)表證詞時，對于完全不了解IT的Katherine來說，這感覺就像一場噩夢。這一系列尷尬亮相表明，她似乎不知道OPM攻擊事件的基本細(xì)節(jié)或者不了解讓OPM在一年內(nèi)兩次受到攻擊的問題。她的辭職似乎是一個必然的結(jié)論，對她來說也許是一種解放。那么問題出在哪里呢?

如果將這個攻擊事故簡單歸結(jié)于OPM安全戰(zhàn)略的失敗，這將是一個錯誤，因為該機構(gòu)的整個信息技術(shù)項目是一個管理災(zāi)難—可以算得上是“不該做的事情”指南。在觀看證詞以及閱讀監(jiān)察長辦公室(OIG)的報告后，我們可以了解到，這不僅僅是因為安全故障，還因為疏于基本策略和風(fēng)險管理的無能領(lǐng)導(dǎo)力。對于IT領(lǐng)域的人來說，這種疏忽太熟悉不過了。閱讀這些OIG報告會讓我們感覺似曾相識，因為這可能是任何企業(yè)的情況。

在對OPM攻擊事故進行檢測之前，OIG IT安全審計自2009年以來反復(fù)指出OPM安全方案中的問題。根據(jù)《華盛頓郵報》有關(guān)該攻擊事故的報道稱，OPM助理監(jiān)察長Michael Esser表示，該機構(gòu)“長期因系統(tǒng)性問題而未能妥善管理其IT基礎(chǔ)設(shè)施，這可能最終導(dǎo)致了這個攻擊事故以及敏感個人數(shù)據(jù)的泄露?！?/p>

從OPM攻擊學(xué)到的經(jīng)驗教訓(xùn)

第一個教訓(xùn)：你需要進行資產(chǎn)管理。該機構(gòu)對資產(chǎn)監(jiān)管不到位的關(guān)鍵問題之一是，對其基本網(wǎng)絡(luò)基礎(chǔ)設(shè)施缺乏可視性。根據(jù)該審計指出，“OPM沒有全面清查服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備”。此外，雖然OPM有配置管理政策，但沒有建立標(biāo)準(zhǔn)，也沒有試圖驗證合規(guī)性。其漏洞掃描程序也是無效的，因為OPM的網(wǎng)絡(luò)管理小組沒有檢查是否對所有服務(wù)器進行了每月掃描。如果沒有資源管理，企業(yè)如何知道該保護什么?良好的資產(chǎn)管理是所有安全控制的基石，這可以為解決與已確定威脅相關(guān)的漏洞提供背景信息。然而，這種問題在企業(yè)中太常見。

第二個教訓(xùn)：數(shù)據(jù)管理是“必須做的事情”，而不是“應(yīng)該做的事情”。在聽證會揭露的另一個關(guān)鍵點是：關(guān)鍵政府雇員數(shù)據(jù)(例如社會安全號碼和財務(wù)信息)沒有在數(shù)據(jù)庫中加密。該機構(gòu)還保存著大量Standard Form 86數(shù)據(jù)—從以前國家安全有關(guān)的背景調(diào)查中收集而來。如果沒有數(shù)據(jù)保存政策，OPM很難肯定地說出實際多少記錄遭到泄露。雖然加密不能總是能夠阻止攻擊者使用竊取的憑證來訪問數(shù)據(jù)，但這是一個有效的控制，讓攻擊者難以通過低特權(quán)賬戶來滲出數(shù)據(jù)或泄露數(shù)據(jù)。OPM的信息安全方案中缺少最重要的組件之一：數(shù)據(jù)管理，而數(shù)據(jù)分類和數(shù)據(jù)處理標(biāo)準(zhǔn)是訪問控制的構(gòu)建基礎(chǔ)。

作為最佳做法，訪問控制應(yīng)該結(jié)合數(shù)據(jù)分類與用戶分類。數(shù)據(jù)具有其價值，數(shù)據(jù)應(yīng)該根據(jù)泄露、丟失可能性和不可用性來進行分類。然后，企業(yè)應(yīng)該根據(jù)處理“靜態(tài)”、“傳輸中”數(shù)據(jù)的規(guī)則以及根據(jù)使用數(shù)據(jù)的用戶類型來分隔數(shù)據(jù)。好的做法是：如果你不需要它，就刪除它，否則它可能受到感染、濫用或者更糟糕的是，法律要求你提供這些數(shù)據(jù)。這適用于電子郵件、日志、支付卡信息和HR數(shù)據(jù)等信息?？偠灾用懿⒉豢偸怯行?，簡單的做法是你可以通過減少數(shù)據(jù)來控制數(shù)據(jù)泄露事故的影響范圍。

第三個教訓(xùn)：文檔記錄和監(jiān)控你的基礎(chǔ)設(shè)施。根據(jù)報告顯示，當(dāng)數(shù)據(jù)泄露事故最終被發(fā)現(xiàn)時，OPM正在對其老化的基礎(chǔ)設(shè)施進行全面的現(xiàn)代化工作。但根據(jù)OIG報告稱，該機構(gòu)并沒有正確了解該項目的范圍，也沒有充分考慮遷移數(shù)據(jù)到新基礎(chǔ)設(shè)施所需要的時間。

OPM現(xiàn)代化項目的推動力是因為OPM的傳統(tǒng)架構(gòu)有很多不支持的平臺(包括JRun)，還有具有COBOL代碼的大型機尚未被更新。但這個項目沒有專門的經(jīng)費;資金來自于現(xiàn)有的項目辦公室運營預(yù)算，這讓完成這次升級面臨風(fēng)險。畢竟，成功的安全監(jiān)控需要穩(wěn)定的良好記錄的架構(gòu)，并有tap、匯聚交換機和日志數(shù)據(jù)提供的可視點，但OPM的基礎(chǔ)設(shè)施是移動目標(biāo)，這無疑在安全監(jiān)控中制造了盲點。

第四個教訓(xùn)：密碼仍然是致命的弱點。根據(jù)FBI調(diào)查顯示，從OPM承包商KeyPoint竊取的登錄憑證被確定為攻擊者的切入點。我們一次又一次地看到，泄露的密碼被認(rèn)定為數(shù)據(jù)泄露事故的罪魁禍?zhǔn)?，但企業(yè)仍然拒絕放棄這個常被利用的弱點。也許這是因為部署多隱私身份驗證需要太多工作量，特別是當(dāng)涉及傳統(tǒng)系統(tǒng)時。無論如何，現(xiàn)在是時候放棄這個備受利用的身份驗證方法，因為它只會給安全團隊帶來痛苦。

第五個教訓(xùn)：管理你的第三方關(guān)系。正如前文所述，承包商的登錄憑證被認(rèn)定為OPM攻擊的關(guān)鍵點。此外，據(jù)稱，阿根廷和中國的安全顧問對OPM數(shù)據(jù)庫具有管理員訪問權(quán)。這就引出了關(guān)于誰實際負(fù)責(zé)保護這些數(shù)據(jù)的問題。在過去幾年發(fā)生的幾乎每次重大泄露事故都被歸因于第三方，但企業(yè)仍然掙扎著管理外包關(guān)系。當(dāng)你允許第三方進入你的環(huán)境時，你還要承擔(dān)他們的風(fēng)險。你需要確定每個這些關(guān)系，以及評估這對企業(yè)風(fēng)險狀況的影響。實現(xiàn)這個目標(biāo)的最佳方法之一是利用具有良好記錄登錄流程的專門的第三方安全程序。

何時才能不讓類似事故發(fā)生?

猶他州眾議員Jason Chaffetz指責(zé)OPM在應(yīng)對這個攻擊事故時，只是簡單地“用木板封死窗戶”，不知道“前往Best Buy”是否能更好地解決該機構(gòu)的問題，他其實也在暗指所有企業(yè)。企業(yè)是否會思考OPM資金情況，盡管他們自2008年來花了5.77億美元，其中80%花在傳統(tǒng)系統(tǒng)?安全行業(yè)很多企業(yè)會專注于外來因素，但這往往會讓我們無法解決真正的問題。嚴(yán)酷的事實是，大多數(shù)安全問題可以通過常用的控制來解決，包括資產(chǎn)管理、數(shù)據(jù)管理、配置標(biāo)準(zhǔn)和文檔記錄等。此外，如果IT部門更注重風(fēng)險管理和戰(zhàn)略，而不只是追逐最新的技術(shù)發(fā)展趨勢，企業(yè)將得到更好地保護。

文章名稱：OPM攻擊事件后：我們從中學(xué)到了什么?
當(dāng)前URL：http://www.5511xx.com/article/dhssoij.html