防止數(shù)據(jù)泄露的6個關(guān)鍵

■馬漢

防止數(shù)據(jù)泄露的6個關(guān)鍵

■馬漢

黑客攻擊仿佛總是快人一步，我們能做的，只能是走在黑客的前面，將黑客攻擊拒之門外。那么如何提防這些不速之客的造訪？作為企業(yè)的首席安全官或首席信息安全官們，又該做些什么來防止數(shù)據(jù)泄露呢？

一、要假設(shè)你已經(jīng)被攻破

惡意軟件是無法被阻止的，因?yàn)閻阂廛浖难葑兎浅Ｑ杆?。?jù)熊貓實(shí)驗(yàn)室報告，2013年共發(fā)現(xiàn)3000萬個新的惡意軟件威脅，平均每天就有2000個之多。另據(jù)火眼公司的報告，82%的惡意軟件在激活后一小時就告消失。所以安全專家們必須要接受網(wǎng)絡(luò)終將被攻破的事實(shí)，專注于如何消除已經(jīng)侵入的黑客，別到時候悔之晚矣。

二、學(xué)習(xí)用戶的典型行為

網(wǎng)絡(luò)犯罪已轉(zhuǎn)向通過獲取認(rèn)證和模擬用戶的方法竊取大量數(shù)據(jù)，這種技術(shù)允許他們長駐內(nèi)存。據(jù)火眼旗下的公司Mandiant的調(diào)查，每一次的數(shù)據(jù)泄露都100%地使用了認(rèn)證獲取技術(shù)。最近，威瑞森（Verizon）2104數(shù)據(jù)泄露報告稱，2013年76%的網(wǎng)絡(luò)入侵都包含認(rèn)證獲取。讓系統(tǒng)學(xué)習(xí)員工的行為方式，隨著時間的推移，系統(tǒng)就可以理解正常的認(rèn)證員工活動，辯認(rèn)非正?；顒?。這也是安全團(tuán)隊(duì)識別隱形攻擊的唯一方法。

三、量化可疑活動的風(fēng)險

第一眼看到一個來自倫敦通過VPN登錄進(jìn)來的銷售副總裁仿佛沒什么不對勁，可當(dāng)你圍繞整個用戶進(jìn)程仔細(xì)檢查它的特點(diǎn)及一系列操作后或許就不是那么回事了。要更好的斷定與該進(jìn)程關(guān)聯(lián)的風(fēng)險，從安全解決方案的角度應(yīng)該圍繞該進(jìn)程進(jìn)行發(fā)生時間和活動情況分析，比如，從該位置登錄的頻次，是否有銷售部門其他成員也表現(xiàn)出類似行為等。通過量化每個潛在可疑活動的附加風(fēng)險，安全分析人士將能更好地識別潛在數(shù)據(jù)泄露的真正風(fēng)險，挖掘用戶行為智能。

四、消除假陽性警報中的白噪聲

假陽性安全警報的概念是隨著首個入侵檢測系統(tǒng)進(jìn)入市場的。因?yàn)閷@些工具固有的、有時也是合理的懷疑，導(dǎo)致安全團(tuán)隊(duì)有時會反應(yīng)遲鈍。這些工具中的安全信息和事件管理系統(tǒng)（SIEM）發(fā)出大量且缺乏足夠優(yōu)先級的的警報，讓人很難從這種可能被視為“噪音”的警報中發(fā)現(xiàn)真正異常的安全事件。因此類似2013年塔吉特?cái)?shù)據(jù)泄露這樣的事件，將毫無疑問地會再次發(fā)生。安全團(tuán)隊(duì)需要借助優(yōu)先級，才可以花時間分析出對公司最寶貴數(shù)據(jù)存在潛在風(fēng)險的警報。

五、消除人為錯誤

據(jù)波耐蒙研究所和賽門鐵克2013年發(fā)布的一份報告顯示，2012年因人為錯誤導(dǎo)致的數(shù)據(jù)泄露超過三分之二。自動安全監(jiān)測系統(tǒng)可以幫助企業(yè)檢測他們的組織是否缺乏系統(tǒng)控制和數(shù)據(jù)治理。

六、培訓(xùn)員工保護(hù)好他們的用戶憑證

如果缺乏意識，任何一名員工都可能給公司的數(shù)據(jù)安全帶來風(fēng)險。雖然系統(tǒng)被黑是不可避免的，但公司員工仍然應(yīng)該知道，釣魚計(jì)劃攻擊是什么樣子，以及它們是如何偽裝成可能的各種樣子，讓人將用戶名和密碼交給潛在攻擊者的。這將有助于消除攻擊的頻次，加大攻擊者竊取用戶憑證的難度，防止大規(guī)模的數(shù)據(jù)泄露。