■馬漢

防止數(shù)據(jù)泄露的6個(gè)關(guān)鍵

■馬漢

黑客攻擊仿佛總是快人一步，我們能做的，只能是走在黑客的前面，將黑客攻擊拒之門外。那么如何提防這些不速之客的造訪？作為企業(yè)的首席安全官或首席信息安全官們，又該做些什么來(lái)防止數(shù)據(jù)泄露呢？

一、要假設(shè)你已經(jīng)被攻破

惡意軟件是無(wú)法被阻止的，因?yàn)閻阂廛浖难葑兎浅Ｑ杆?。?jù)熊貓實(shí)驗(yàn)室報(bào)告，2013年共發(fā)現(xiàn)3000萬(wàn)個(gè)新的惡意軟件威脅，平均每天就有2000個(gè)之多。另?yè)?jù)火眼公司的報(bào)告，82%的惡意軟件在激活后一小時(shí)就告消失。所以安全專家們必須要接受網(wǎng)絡(luò)終將被攻破的事實(shí)，專注于如何消除已經(jīng)侵入的黑客，別到時(shí)候悔之晚矣。

二、學(xué)習(xí)用戶的典型行為

網(wǎng)絡(luò)犯罪已轉(zhuǎn)向通過(guò)獲取認(rèn)證和模擬用戶的方法竊取大量數(shù)據(jù)，這種技術(shù)允許他們長(zhǎng)駐內(nèi)存。據(jù)火眼旗下的公司Mandiant的調(diào)查，每一次的數(shù)據(jù)泄露都100%地使用了認(rèn)證獲取技術(shù)。最近，威瑞森（Verizon）2104數(shù)據(jù)泄露報(bào)告稱，2013年76%的網(wǎng)絡(luò)入侵都包含認(rèn)證獲取。讓系統(tǒng)學(xué)習(xí)員工的行為方式，隨著時(shí)間的推移，系統(tǒng)就可以理解正常的認(rèn)證員工活動(dòng)，辯認(rèn)非正?；顒?dòng)。這也是安全團(tuán)隊(duì)識(shí)別隱形攻擊的唯一方法。

三、量化可疑活動(dòng)的風(fēng)險(xiǎn)

第一眼看到一個(gè)來(lái)自倫敦通過(guò)VPN登錄進(jìn)來(lái)的銷售副總裁仿佛沒什么不對(duì)勁，可當(dāng)你圍繞整個(gè)用戶進(jìn)程仔細(xì)檢查它的特點(diǎn)及一系列操作后或許就不是那么回事了。要更好的斷定與該進(jìn)程關(guān)聯(lián)的風(fēng)險(xiǎn)，從安全解決方案的角度應(yīng)該圍繞該進(jìn)程進(jìn)行發(fā)生時(shí)間和活動(dòng)情況分析，比如，從該位置登錄的頻次，是否有銷售部門其他成員也表現(xiàn)出類似行為等。通過(guò)量化每個(gè)潛在可疑活動(dòng)的附加風(fēng)險(xiǎn)，安全分析人士將能更好地識(shí)別潛在數(shù)據(jù)泄露的真正風(fēng)險(xiǎn)，挖掘用戶行為智能。

四、消除假陽(yáng)性警報(bào)中的白噪聲

假陽(yáng)性安全警報(bào)的概念是隨著首個(gè)入侵檢測(cè)系統(tǒng)進(jìn)入市場(chǎng)的。因?yàn)閷?duì)這些工具固有的、有時(shí)也是合理的懷疑，導(dǎo)致安全團(tuán)隊(duì)有時(shí)會(huì)反應(yīng)遲鈍。這些工具中的安全信息和事件管理系統(tǒng)（SIEM）發(fā)出大量且缺乏足夠優(yōu)先級(jí)的的警報(bào)，讓人很難從這種可能被視為“噪音”的警報(bào)中發(fā)現(xiàn)真正異常的安全事件。因此類似2013年塔吉特?cái)?shù)據(jù)泄露這樣的事件，將毫無(wú)疑問地會(huì)再次發(fā)生。安全團(tuán)隊(duì)需要借助優(yōu)先級(jí)，才可以花時(shí)間分析出對(duì)公司最寶貴數(shù)據(jù)存在潛在風(fēng)險(xiǎn)的警報(bào)。

五、消除人為錯(cuò)誤

據(jù)波耐蒙研究所和賽門鐵克2013年發(fā)布的一份報(bào)告顯示，2012年因人為錯(cuò)誤導(dǎo)致的數(shù)據(jù)泄露超過(guò)三分之二。自動(dòng)安全監(jiān)測(cè)系統(tǒng)可以幫助企業(yè)檢測(cè)他們的組織是否缺乏系統(tǒng)控制和數(shù)據(jù)治理。

六、培訓(xùn)員工保護(hù)好他們的用戶憑證

如果缺乏意識(shí)，任何一名員工都可能給公司的數(shù)據(jù)安全帶來(lái)風(fēng)險(xiǎn)。雖然系統(tǒng)被黑是不可避免的，但公司員工仍然應(yīng)該知道，釣魚計(jì)劃攻擊是什么樣子，以及它們是如何偽裝成可能的各種樣子，讓人將用戶名和密碼交給潛在攻擊者的。這將有助于消除攻擊的頻次，加大攻擊者竊取用戶憑證的難度，防止大規(guī)模的數(shù)據(jù)泄露。