如何阻止數據泄露

安全威脅正在不斷升級，應對這些安全威脅需要企業信息安全專業人員及其觀念也要「升級」。

我們都知道阻止不良行為者進入你的網路並不難，我們也都同意，應該對不同的用戶群分配不同的許可權級別。同時，我們也都認為，某些系統包含比其他系統更有價值的數據。那麼，為什麼我們似乎都不能完成這些事情呢?

事實證明，雖然安全概念很容易，但具體部署並不容易，看看最近接連發生的安全泄露事故就知道。索尼、家得寶、Target、Skype和Neiman Marcus等公司都遭到攻擊，醫療保險公司Anthem和Premera也一樣。

數據泄露事故的成本

這些攻擊給企業帶來嚴重影響，這些企業的品牌和聲譽受到影響，消費者的身份和財務數據的隱私性及安全性也遭到破壞。而這些都會讓受影響企業遭受嚴重的財務損失，有些企業可能甚至面臨破產。

零售及金融服務行業並不是唯一面臨風險的行業。在過去的20年中，網路攻擊已經演變成更先進和更具破壞性的攻擊，有時候還會瞄準關鍵基礎設施。例如，針對伊朗核計劃的攻擊讓我們注意到，網路不僅受到先進黑客團體的攻擊，也受到民族國家的攻擊。即使是表面無法從外部訪問的系統也可能受到攻擊。面對這個問題，我們不禁會想，IT專業人士發展最快的專業是不是網路安全?

安全公司IronNet Cybersecurity調查稱，2014年世界各地的公司花費約3640億美元來應對安全泄露事故。這是一個令人驚訝的數字，而且這個數字每年都在增長。

安全泄露事故未被檢測

美國聯邦調查局前局長Robert Mueller在談到當前安全狀態時稱，「只有兩種類型的公司：已經遭受攻擊的公司，即將遭受攻擊的公司。」筆者將後面一部分改為：「已經遭受攻擊的公司，以及還不知道他們已經遭受攻擊的公司，」因為大多數公司沒有足夠的安全監控基礎設施。

例如最近遭受攻擊的醫療保險服務提供商CareFirst公司，安全公司Mandiant在幫助該公司保護其系統時發現了這個攻擊。人們不禁要問，還有多少保險公司和醫療機構不知道他們的安全狀況。

根據2015年Mandiant M-Trends報告顯示，在系統遭受攻擊後，攻擊者在系統中保持不被發現的時間是205天。更糟糕的是，69%的數據泄露事故是由外部實體發現。也就是說，這些公司本身並沒有發現自己已經遭受攻擊。顯然，檢測是一個挑戰。

需要真正的網路安全領導

直到最近我們才發現這個問題的部分原因，在大多數企業的決策者根本沒有意識到他們所面臨的真正威脅。對於他們來說，網路安全只是審計報告中的各種複選框，是的，我們有防火牆，是的，我們運行著殺毒軟體，然後就沒有然後了。多年來，「設置後就忘記」是很多企業的做法，而且現在才開始改變。首席信息安全官的職位已經開始普及，這個職位通常擁有與IT運營的CIO[注]相同的運營監督和權威。這種變化正在改變企業處理信息安全的方式。

防火牆和隔離的DMZ已經不再夠用，殺毒軟體或其他傳統保護技術也不再可行。因為，儘管這些標準做法和基本的監控在過去可行，但現在攻擊者會長期潛伏在系統中，竊取敏感數據。不僅檢測是挑戰，防禦也是挑戰。

如何防止數據泄露事故

現在很多攻擊都是通過社會工程來執行，例如讓用戶點擊電子郵件中的惡意鏈接，對此，培訓成為防禦戰略的重要部分。而我們在這裡列出的大多數攻擊都使用有效登錄憑證來執行攻擊，攻擊者未被發現是因為他們在基於角色的訪問控制(RBAC)系統的範圍內進行操作。如果我們固守舊觀念，認為網路內的威脅沒有外部威脅那麼嚴重(+微信關注網路世界)，那麼我們就已經輸了。威脅可能主要來自外部，但在現在的環境中，攻擊者並不會破門而入。

現在處理網路安全的最好方法之一是獲得對網路的可視性。如果你只是監控選擇的流量或伺服器，或者檢查系統記錄數據，這是遠遠不夠的。我們需要讓網路可以監控幾乎一切信息，如果你不能看到所有信息，你就無法作出反應。

更高和更實惠的帶寬、更好的交換架構、更強的計算能力、更快和更大的存儲，讓企業的監控工作變得比以往任何時候都更加艱巨。但是現在並不是不可能對網路中的所有流量進行捕捉和實時分析，以及存儲用於未來分析。當然，你也不可能永遠保存所有這些信息，除非你有無線的政府資助，不過，大部分大型企業還是可以存儲一定的時間。

實時大數據安全分析是高級威脅防禦戰略的另一個重要組成部分。按網路速度捕捉數據是一回事，但如果你依靠人眼來發現威脅和應對，這將無濟於事。而這正是大數據分析的用武之地，大數據分析可以分析非結構化數據，獲取你可能甚至不知道的信息。這也是信息安全歷史的第一次，我們可以進行啟發式安全威脅分析。

當然，我們仍然需要強大的報告引擎和人類監督，不過，企業應該將先進的分析工具作為第一道防線。威脅還會繼續發展，攻擊者還會找到新的攻擊途徑，這意味著，我們也必須迅速發展。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！