立即訂閱
立即訂閱

洞察觀點

如何防範企業程式碼洩漏?從紐約時報洩漏事件分析3大資安風險

How to prevent code leaks Lessons from the New York Times incident on top cybersecurity risks. (4)

一、紐約時報為什麼會發生這件事?

2023年,紐約時報遭遇了一場嚴重的資安事件,其內部超過270 GB的資料和程式碼被公開洩漏在4chan上。這次洩漏的內容包括5000多個程式庫和數百萬個檔案,暴露了該公司數位基礎設施的多處弱點。此次事件不僅僅對新聞業的數位安全提出了警告,更強烈提醒所有企業應該重新審視其資安防護措施。本文將通過分析這次洩漏事件,深入探討企業如何有效防範程式碼洩漏,以及從中汲取哪些教訓來加強自身的資安策略。

How to prevent code leaks Lessons from the New York Times incident on top cybersecurity risks.

二、紐約時報洩漏事件的三大資安風險點

1. 內部資料未加密存儲

紐約時報洩漏事件暴露了大量未經加密的內部資料和程式碼,這是導致洩漏風險急劇增加的主要原因之一。當資料未經加密保護時,一旦洩漏,即使是非技術人員也可以輕易檢視並利用這些敏感資訊。這意味著,洩漏的資料可以被競爭對手、網路犯罪分子甚至是國家級的攻擊者用來攻擊企業,從而造成不可估量的損失。這一風險點突顯出,企業必須對其內部資料進行強化的加密管理,以確保即使資料被竊取,也無法被輕易解讀或利用。

2. 訪問權限管理不當

此次洩漏事件還顯示了紐約時報在訪問權限管理上的不足。有效的訪問控制應該確保只有經過授權的員工才能接觸到關鍵資料。然而,紐約時報的內部資料可能因為權限設定不當,使得無權限的人員有機會接觸到敏感資訊。這種管理上的疏漏,使得內部人員或外部攻擊者能夠獲取並洩露大量機密資料,給企業帶來重大風險。訪問權限管理的漏洞在此事件中暴露無遺,提醒所有企業需要定期審查和更新其權限管理系統,以避免此類事件重演。

3. 缺乏定期的安全審計和滲透測試

紐約時報的洩漏事件還反映出企業在安全審計和滲透測試方面的不足。如果企業未能定期對其數位基礎設施進行安全檢查和滲透測試,那麼潛在的安全漏洞將會長期存在,進而為攻擊者提供可乘之機。這些未被發現的漏洞在特定情況下可能會被攻擊者利用,導致嚴重的洩漏事件。企業應該將定期的安全審計和滲透測試作為其資安策略的重要組成部分,確保在漏洞被攻擊者發現之前就能夠及時修補,從而降低洩漏風險。

How to prevent code leaks Lessons from the New York Times incident on top cybersecurity risks. (2)

三、防範措施:如何避免類似的洩漏事件

1. 強化程式碼的加密與存儲管理

要避免類似的洩漏事件,首先需要強化程式碼和資料的加密與存儲管理。企業應該確保所有內部資料和程式碼均經過強加密技術處理,這樣即使資料被竊取,也無法被輕易解讀或利用。加密不僅僅是防範洩漏的一道防線,更是確保資料在傳輸過程中不被竄改或攔截的重要手段。企業應採用最新的加密標準,並確保加密密鑰的安全存儲和管理,防止密鑰被竊取或濫用。

2. 實施嚴格的訪問控制和權限管理

企業還必須實施嚴格的訪問控制和權限管理系統,確保只有被授權的員工才能接觸到敏感資料。這包括定期審查和更新權限,確保人員變動時權限也能及時調整。此外,企業應該設置多重身份驗證機制,確保訪問敏感資料的過程中,通過身份驗證來防止未經授權的訪問。權限管理系統應該能夠根據職責劃分,對不同層級的人員設定相應的訪問權限,確保資料的最小化暴露。

3. 定期進行資訊安全教育

除了技術手段,持續的資訊安全教育也是防範洩漏的重要措施。員工是企業的第一道防線,只有當他們具備足夠的安全意識和技能,才能有效防範內外部的資安威脅。企業應定期進行資安培訓,確保員工了解最新的安全威脅和應對措施,並能在日常工作中落實資安最佳實踐。Secure Code Warrior (SCW) 是一個專為開發人員設計的資安培訓平台,它可以幫助企業提升開發團隊的安全技能,確保他們能在程式碼撰寫過程中避免常見的安全漏洞。

How to prevent code leaks Lessons from the New York Times incident on top cybersecurity risks. (1)

建立健全的資安策略以防範未來風險

紐約時報的洩漏事件提醒我們,企業必須高度重視資安策略的建立和執行。透過強化加密技術、實施嚴格的訪問控制、定期進行安全審計及持續的資訊安全教育,企業可以大幅降低洩漏風險,保護其數位資產免受攻擊。此外,企業還應建立應急響應計劃,確保在發生洩漏事件時能夠迅速有效地應對,將損失降到最低。

Secure Code Warrior(SCW)有效協助企業資安專業

Secure Code Warrior(SCW)是一個專為開發人員設計的資安培訓平台,通過即時學習和競賽功能,有效幫助企業提升開發團隊的安全技能。SCW提供多種程式語言和框架的培訓內容,讓開發者能在日常工作中持續強化資安意識,並將安全知識融入到程式碼撰寫過程中。SCW還能讓企業追蹤開發團隊的學習進度,確保培訓效果持續提升。透過SCW,企業可以從根本上減少漏洞風險,建立更堅固的資安防線,從而在面對未來挑戰時更加穩固。

How to prevent code leaks Lessons from the New York Times incident on top cybersecurity risks. (3)

專欄作者簡介:汪家緯

網站流程優化|SEO關鍵字優化|社群廣告投放|文案撰寫

先行智庫整合行銷部的資深經理,擁有豐富的數位行銷與策略規劃經驗,同時也負責數據分析、業務銷售等各種研討會活動規劃,業務範圍涵蓋數位行銷、AI生成式應用、業務銷售、市場趨勢等多元領域服務。

善於將複雜的行銷觀念、AI應用轉化為易懂的概念。專欄內容不僅涵蓋了數位行銷的多個方面,同時也提供讀者實用的行銷技巧與策略,旨在幫助B2B企業提升數位行銷關鍵能力。

先行智庫為台灣管理顧問公司,服務內容包含整合行銷官網服務、企業內訓、顧問諮詢以及數據解決方案,了解更多企業服務內容:https://kscthinktank.com.tw/digital-marketing/

Facebook
LinkedIn

聯絡資訊

先行智庫提供:

聯絡地址

106台北市中正區新生南路一段168-8號

聯絡電話

02-2358-2220

聯絡信箱

readforyou@kscthinktank.com.tw

追蹤我們
Facebook Linkedin Instagram Youtube Line
聯絡我們表單

Copyright 2024 © All rights Reserved. |隱私權政策

Scroll to Top
取得最新資訊

訂閱每週最新消息