根據(jù)Verizon公司最新發(fā)布的2013年數(shù)據(jù)泄露調(diào)查報告（簡稱DBIR），要網(wǎng)絡攻擊者實施侵襲到受害者發(fā)現(xiàn)問題所間隔的時間已經(jīng)由最初的幾小時或幾天演變?yōu)槿缃竦膸讉€月甚至數(shù)年。這對于企業(yè)而言意味著什么？

[[72166]]

在Verizon的報告中可以發(fā)現(xiàn)，過去一年有66%的數(shù)據(jù)泄露事故經(jīng)過了數(shù)月甚至更長才為受害者察覺。也就是說大多數(shù)攻擊者都有能力悄無聲息地將數(shù)據(jù)帶出業(yè)務環(huán)境，且在被發(fā)現(xiàn)前花費數(shù)周時間對目標企業(yè)的IT系統(tǒng)開展偵察。

盡管入侵防御機制至關(guān)重要，但這份報告同時指出企業(yè)也必須接受殘酷的現(xiàn)實——世界上不存在堅不可摧的壁壘。檢測與響應同樣是防御體系中不可或缺的組成部分。

根據(jù)Veriozn的意見，企業(yè)不能再把檢測與響應作為像備份計劃那樣出了問題才想到使用的手段；相反，它們應該成為企業(yè)安全規(guī)劃中的核心環(huán)節(jié)。

舉例來說，記錄與監(jiān)控在檢測可能導致泄露事故的活動、防止或者緩解泄露危害方面至關(guān)重要，移動及云安全企業(yè)Neohapsis公司高級安全顧問PatrickHarbauer表示。

攻擊者在試探企業(yè)網(wǎng)絡并實施侵擾方面擁有幾乎無限的資源與時間。

“惟一的希望在于加大對安全人員培訓及自動化工具部署的投入，這樣企業(yè)才能監(jiān)控自身系統(tǒng)中的惡意活動，”他解釋道。

反思舊有安全模式

企業(yè)還需要與其它安全機構(gòu)及專業(yè)人士開展合作，以共享方式獲取更多知識與情報，Harbauer告訴我們。

隨著業(yè)務計算活動量不斷向云環(huán)境過渡，我們必須為之搭配新型安全規(guī)范，虛擬化安全企業(yè)HyTrust公司總裁兼創(chuàng)始人EricChiu指出。

“我們需要將安全規(guī)范從以往效率低下甚至缺乏成效的‘由外而內(nèi)’視角轉(zhuǎn)換為如今‘由內(nèi)而外’視角，這樣才能同時應對來自內(nèi)部與外部的先進威脅，”Chiu建議道。

Chiu認為，未來的監(jiān)控工作將以基于角色的系統(tǒng)為出發(fā)點。“基于角色的監(jiān)控（簡稱RBM）是最快、最強大也最具安全威脅識別能力的方案，其準確率高達98%，”他告訴我們。

這類新方案在云環(huán)境中作用尤為明顯，因為云環(huán)境下的“超級管理員”對于一切信息都擁有“超級權(quán)限”，只有新機制才能嚴格控制他們對每一套虛擬機的復制及修改活動，Chiu表示。

“是時候?qū)Π踩ぷ鬟M行反思了，既需要與新興技術(shù)保持一致、也會給我們的業(yè)務流程帶來改變，”他解釋道。

7成數(shù)據(jù)泄露事件由外部發(fā)現(xiàn)

為了強調(diào)未來變革的必要性，Verizon調(diào)查報告還提到約70%的數(shù)據(jù)泄露事件是由外部各方發(fā)現(xiàn)之后才反過來通知受害者。

報告指出，盡管這一比例相較前一年的92%有所改善，但事實證明各機構(gòu)的內(nèi)部檢測機制仍然相當匱乏。

報告聲稱，數(shù)據(jù)泄露受害者往往需要從互聯(lián)網(wǎng)服務供應商（簡稱ISP）、信息安全咨詢委員會（簡稱ISAC）以及專門追蹤安全威脅的情報機構(gòu)那里得知自身遭遇攻擊。

可疑活動的檢測通常涉及與已知威脅活動相關(guān)IP地址及域名的交互通信。

調(diào)查報告同時指出，由于這種新機制同時能夠檢測國有附屬機構(gòu)中存在的違規(guī)行為，因此匯總結(jié)果中的間諜活動也占據(jù)了相當?shù)谋壤?/p>

報告稱第三方欺詐識別是經(jīng)濟類攻擊活動中的主要應對方案，尤其是在小型零售企業(yè)、餐飲服務行業(yè)等人力與技術(shù)資源較為匱乏的領(lǐng)域中肩負著防范并偵測攻擊的重任。

目前最大的問題在于，第三方檢測機制只能在欺詐行為已經(jīng)開始、攻擊者嘗試使用偷來的支付卡數(shù)據(jù)之后方能奏效。

用戶響應是最有效的內(nèi)部偵測手段

根據(jù)數(shù)據(jù)泄露報告的意見，用戶響應是數(shù)據(jù)泄露最有效的內(nèi)部偵測手段。

“通常情況下，普通員工會在自己的日常工作中發(fā)現(xiàn)一些奇怪的現(xiàn)象或者征兆——例如系統(tǒng)性能降低或者出現(xiàn)可疑的電子郵件——他們應該立即向IT部門或管理層發(fā)出警示，”報告指出。

根據(jù)Verizon公司的意見，堅持對正確數(shù)據(jù)源進行收集與維護能幫助企業(yè)獲得及時發(fā)現(xiàn)違規(guī)征兆所必需的信息儲備，并成為推動深入調(diào)查的堅實基礎。

企業(yè)應當明確托管安全系統(tǒng)所需要的記錄級別、需要記錄哪些網(wǎng)絡數(shù)據(jù)并制定合理的數(shù)據(jù)保留周期。

該報告稱，由于大多數(shù)數(shù)據(jù)泄露事件都無法在幾周或者幾個月內(nèi)得到曝光，因此數(shù)據(jù)保留周期也是安全保障中的重要因素。

盡管受害者自己的數(shù)據(jù)源是調(diào)查工作中的重要組成部分，但也不能因此忽視了外部各方提供的數(shù)據(jù)中所蘊含的寶貴價值。

報告顯示，監(jiān)控系統(tǒng)、數(shù)據(jù)記錄、外部數(shù)據(jù)源、信息共享以及用戶安全意識等關(guān)鍵因素共同構(gòu)成了企業(yè)安全的嚴密保障，在此基礎之上我們才有機會降低攻擊者實施惡意活動的成功機率。