关键信息泄露 WebEx遭遇安全威胁
时光回溯到2004年,在软件即服务的网络会议提供商WebEx的销售团队内,存在对安全的诸多疑虑。许多销售主管担心,一些关键的竞争信息,诸如WebEx的定价信息,在还没有完成对相应客户的影响之前,就可能会泄露到竞争对手那里。
WebEx的首席安全官Randy Barr称,当时网络会议市场有64%属于WebEx,平均每天举行5万场网络会议,而Barr的职责包括负责物理和信息安全。
当时,这种担心促使销售部门的主管向Barr和首席信息官提出请求:调查安全状况。经过几天的调查,包括与销售代表进行讨论、扫描网络日志、扫描发出的电子邮件,Barr认为此前没有信息被泄露。
但是,这次调查和后来与WebEx管理者的交谈使得所有人开始思考这样一个问题,是否能有一种有效的方法来主动的监视WebEx的内部网络,因为所有的WebEx工具都是专有软件。
Barr认为管理者所需要的不仅仅是以前发生在WebEx系统上的历史事件,他们还想了解和防止现在和将来会发生的事情。Barr领导的团队对敏感数据处理过程重新进行了审视,并开始着手寻找是否有厂商可以帮助它们完善这个过程后面的把关技术。
寻找安全防护助手
尽管Barr自信以前没有数据泄露问题发生,但是,讨论和调查的过程却让他没有理由感到轻松。还有一个令他担忧的问题是,进行这样的一次调查要花费他的团队如此长的时间,他希望能够缩短这个调查时间。此外,Barr所忧虑的不仅仅在于跟踪他知道的WebEx文档,还在于跟踪那些未知的文档。
并不是Barr自己面对这类安全问题。在过去的三年中,此起彼伏的这类犯罪活动以及因此进行的各种技术上的调整,已经让首席信息官们在保护自己企业的数字财富方面积累了丰富的经验。
根据调查公司Gartner表示,在内容过滤监视过滤和数据丢失保护领域目前已经有很多厂商。据Proctor表示,除了这些厂商的产品的网络监视功能外,“人们对不恰当的业务实践的认知能力以及对于正在发生的未知事务的认知能力也正在提高,例如对敏感信息的滥用。”
WebEx最终收购了Reconnex的iController设备产品。iController首先登记所有的WebEx的私有内容,然后监视是否有任何超出正常范围之外的事情发生,一旦监测到这种行为,即向Barr发出警告。
Reconnex负责产品和市场的副总裁Faizel Lakhani表示,Reconnex的承诺是,一旦部署其技术在客户系统上,它将创建一个拓扑图来显示公司网络上正在发生的事情,例如记录金融数据、社会安全帐号和知识产权数据所在的位置及正在发生的变化。
网络监控带来频闪的告警灯
对于IT管理者来说,在当今时代的网络中存在如此多的视区盲点,启动一个网络监控设备带来的效果可能是令人吃惊的。据Barr表示,随着iController部署的就位,“在部署完成后的最初24小时内,我们经历了各种各样复杂的情绪:我们对这个设备的工作效果感到高兴和激动;对我们看到的东西感到吃惊;对我们正在做的事情感到后怕;然后又为我们部署了合适的设备来提供此前从未有过的网络可视性而感到如释重负。”
但是,对于WebEx网络新具备的这种可视性,Barr和他的同事碰到了一个共同的问题:“我的担心是:对于这些信息我们该做些什么?”Barr表示。
实际上,这是一个令很多公司感到进退两难的事情,Gartner的Proctor表示。“如果你去查找敏感信息,你可能能发现它。但是你该采取什么措施呢?”Proctor举了一个例子,一家健康医疗厂商正在发出它的真实的病人数据,以证明其产品的作用。如果对这种外出的敏感数据传输进行阻挡,则不会起到宣传的效果。还有,如果一个监视产品在任何敏感信息流出公司网络前都发出告警,那么这个系统就会像圣诞树上的彩灯一样闪个不停。然而如果对于外出的敏感信息置之不理,则又可能遭到市场的制裁。
Proctor表示,“如果企业不愿意做出改变,那么将很难从这些厂商的产品中得到有价值的东西,如果你不乐意改变,部署这些产品纯属于浪费金钱和时间。”
教育员工风险意识更重要
WebEx采取了具体的措施来进行改变,通过提供不合适操作的真实例子,使用iController发现的信息来更好地帮助教育员工的安全风险意识。和大多数启用了网络监控产品的公司一样,WebEx发现“大多数安全问题来自于员工的错误操作,”Barr表示。
举个例子来说,某些有时候在家中工作的WebEx员工发送了未经加密的文档到他们的家庭电子邮件地址中,其中含有专有信息。另外,经常有员工通过网络发送自己的帐号和密码。这些行为都违犯了公司的安全策略,新的系统会迅速的向Barr发出告警,因此他可以采取合适的措施。
现在,不仅仅有Barr的安全小组来跟踪每一个安全问题,还有一个小的安全意识程序来提示人们的错误做法以及他们的做法对公司安全的影响。Barr表示,“我们提醒他们我们的安全策略,他们的安全职责是什么,以及我们部署了安全产品来监视他们的行为。我们还告诉他们所违反的策略是是什么。”
另外,Barr还将真实生活中的事件加入到正在进行和将要进行的培训计划中,例如一个员工通过她的AOL帐号发送她的用户名和密码信息,他认为这也是非常关键的。他表示,“这种做法告诉人们真实的安全事故是如何发生的,以及在他们的日常工作中该怎么做,他们可以把自己置于一个潜在的假想的安全场景中,这比单纯的只是讲安全策略效果好的多。”
Barr的团队与人力资源和法律相关的人员一起重新对文档管理策略进行了修订,以更好的保护敏感信息。所有这些确保员工从别人的错误中吸取教训,Barr表示。此外,和许多公司一样,WebEx告诉员工,公司有监控网络、聊天、网络邮件和电子邮件以监测违反安全规定行为的能力,例如,如果“confidential(机密)”单词出现在电子邮件内,将会触发iController系统的告警。
相比2004年,Barr和他的团队成员可以更轻松的规划和处理网络安全。Barr表示,现在进行一个安全调查所花费的时间会大大减少了,他将现在的进步归功于员工更好的理解WebEx的安全措施以及员工安全风险意识的增强。
