由於企業信息在泄露到搜索引擎之後就會變成黑客進行信息收集以及有針對性攻擊計劃的得力幫助,並且業內競爭對手也有可能因此獲得好處,所以安全觀察傢提醒企業需要針對內部員工信息分享以及品牌信息在線發佈活動等方面的工作進行規范管理,並給出瞭重點關註網絡安全等領域情況的具體建議。
上個月的時間,巴特佈魯網絡安全公司的首席執行官巴巴克·派斯達就提出這樣的觀點:由於現在的黑客已經能夠利用谷歌搜索來獲得針對目標的詳細信息,所以谷歌搜索引擎對於企業安全來說就意味著屬於一種威脅。
按照派斯達的說法,谷歌正致力於推進對使用者個體進行有效識別的工作。而這其中就涉及到年齡、性別、興趣愛好以及所在企業等方面的信息,並且還可以利用地理位置與電子郵件之類獨有與新出現的數據來對使用者活動情況進行全面跟蹤,在此基礎上最終就可以實現建立相關說明的既定目標。接下來的時間,該公司還會對搜集到的數據進行分析處理,並歸類為直接參考用數據或者瀏覽方式之類的間接數據。
這種信息泄露事故也有可能出現在將聯系人信息、日程安排、任務列表以及其它方面個人信息同步到谷歌服務器上的安卓用戶,以及使用Gmail之類谷歌免費服務的用戶身上。格林阿姆公司首席執行官約瑟夫·斯坦伯格指出,谷歌在信息收集處理方面的能力“已經遠遠超越瞭搜索引擎所必需的限度”。
巴特佈魯網絡安全公司亞太區市場營銷副總裁喬納森·安德烈森聲稱:在有針對性攻擊盛行的時代,搜索引擎已經成為黑客查找、收集以及整理個人片段信息的有力工具。他分析說,對於大型公司來說,由於必然會在谷歌或其它搜索引擎上留有可以被搜索到的數據,所以就一定會導致安全方面的風險出現。
安德烈森提醒道,盡管單獨信息本身未必有什麼重要意義,但如果匯集到一起的話,就可以顯示出公司潛在漏洞的整體概況。舉例來說,本星期的早些時間就發生瞭一起典型事故。他指出,網絡犯罪分子用來進行攻擊的信息以及鏈接都是利用多個來源泄露出的增量數據所獲得的,結果就是導致一名Gizmodo前員工的谷歌、推特以及蘋果公司帳戶在一個小時之內就全部淪陷。
而谷歌對搜索結果的持續改進,也讓網絡犯罪分子的工作變得越來越輕松。今年的早些時間,谷歌高級副總裁兼研究員阿米特·辛格爾就透露說,公司開發的語義搜索技術已經呈現出雛形,並且還將會提供基於對信息真實理解基礎之上的搜索結果。
斯坦伯格補充說,公司機密信息也有可能面臨被競爭對手獲得的風險——如果員工利用安卓智能手機將會議安排以及與會人員之類信息同步到谷歌服務器上的話,就有可能被谷歌或者內部工作人員獲得。
斯坦伯格解釋說,攻擊者隻要查看過有關人士的日程安排,就可以獲得潛在並購、收購以及其它會給股票價格帶來影響的活動等方面的大量"內幕信息"。
他警告說:"谷歌不會查看數據的保證並不屬於一定會得到強制執行的情況,尤其是在遭遇到提供數據的要求來自法院的情況時"。
企業需要對數據流出情況進行規范,對流出信息進行及時主動的處理
斯坦伯格指出,企業應當對員工使用免費在線服務以及在線分享信息等方面的行為進行嚴格而全面的規范。這裡涉及到的管理對象不僅包括數據本身,而且還需要包括能夠“被谷歌搜索到的部分”。
他補充說,由於安卓智能手機會經常與谷歌服務器進行同步,而iPhone也會將用戶數據同步傳輸到蘋果icloud服務器之上,因此企業安全策略必須能夠覆蓋到智能手機以及雲存儲服務器之上。
安德烈森指出,對於企業來說,同樣重要的工作還涉及到掌握搜索引擎可以獲得什麼類型的數據。畢竟,隻有做到這一點,才可以讓尋找潛在漏洞的工作變得更簡單,部署防范措施的實際效果變得更好。
按照弗雷斯特研究公司安全與風險領域高級分析師裡克·霍蘭提供的建議,痕跡監控者(MarkMonitor)、品牌保護(BrandProtect)以及Cyveillance等公司都可以提供用來對品牌在網絡上涉及到的信息進行全面搜索的自有機器人以及爬蟲工具,這讓公司可以利用來對外部信息會涉及到的各種情況進行深入瞭解。他還補充說,這些公司也提供瞭針對谷歌搜索結果進行滲透測試的評估服務。
企業應當更多地關註網絡安全方面的情況
霍蘭指出,盡管搜索引擎所收集的信息可能被用於攻擊,但公司也不需要花費大量精力來確保按不同搜索引擎中的索引數據都屬於安全的。按照他的建議,公司的關註重點應當是充分利用自身有限資源,確保有能力快速檢測出以及有效應對可能的攻擊。
“攻擊者總是可以利用創新方法來收集針對目標的信息並闖入進網絡之中。但隻有後者而不是前者屬於可以預防的情況,”他指出。“除非公司能夠讓攻擊者的工作變得更加困難,否則有針對性攻擊是不會主動停止下來。”
在被問及搜索數據是如何進行存儲的,以及都采取瞭哪些方面的措施來確保機密數據不會被網絡犯罪分子發起的有針對性攻擊所獲取等問題時,谷歌公司作出瞭拒絕進行答復的表示。
Orignal From: 企業需要嚴防搜索引擎數據帶來的風險
留言列表
