毫無疑問,目前數(shù)據(jù)泄露事件頻頻發(fā)生,大型企業(yè)如 Target、eBay、JP Morgan Chase和Home Depot等公司也都出現(xiàn)過非常嚴(yán)重的數(shù)據(jù)泄露事件。據(jù)2014年Verizon PCI DSS 的報(bào)告顯示,僅有11%的企業(yè)完全沒有遭遇過數(shù)據(jù)泄露等安全事件。據(jù)悉,JP Morgan的數(shù)據(jù)泄露是由于一名員工在家辦公引起的,攻擊者利用VPN連接來提取數(shù)據(jù),而Target則是因?yàn)橐环忉烎~郵件而泄露了上百萬條信用卡數(shù)據(jù)記錄。
攻擊在線業(yè)務(wù)的方式多種多樣,而黑客可能只選取一種方式來進(jìn)行網(wǎng)絡(luò)攻擊,但是安全和管理專家必須要掌握或考慮到各種各樣的攻擊方式來應(yīng)對(duì)黑客的攻擊。這并不僅僅是IT問題,而是管理的問題。 Gwen Thomas在其名為Alpha Males and Data Disasters一書中對(duì)數(shù)據(jù)管理描述得非常詳細(xì),她認(rèn)為數(shù)據(jù)管理是保護(hù)企業(yè)安全的基礎(chǔ)。在Alpha Male部分,Thomas提到了一種典型的中層管理方式,強(qiáng)調(diào)管理人員在管理數(shù)據(jù)的過程中要自己來做決定,只有在沒有其他選擇的時(shí)候才可以咨詢其他經(jīng)理 人或者企業(yè)高層。這樣的方式對(duì)于經(jīng)理人直接管理數(shù)據(jù)非常有意義,但是也可能會(huì)危及企業(yè)的安全。
管理和治理之間有什么區(qū)別呢?數(shù)據(jù)治理是指將企業(yè)、規(guī)范、決策權(quán)、員工責(zé)任和信息系統(tǒng)作為其執(zhí)行信息決策流程的依據(jù)。數(shù)據(jù)治理有三個(gè)任務(wù):1)積極定義管理規(guī)范,2)迅速解決那些因不遵守規(guī)范而引起的問題,3)在保護(hù)和服務(wù)于數(shù)據(jù)利益相關(guān)者時(shí)要遵守規(guī)范。
現(xiàn)在回到數(shù)據(jù)泄露的問題上,以上提到的數(shù)據(jù)泄露事件中又有多少與數(shù)據(jù)治理相關(guān)呢?答案是所有的。基于此,可以看看企業(yè)將如何保護(hù)企業(yè)系統(tǒng)的安全?同時(shí),企業(yè)要怎樣做才能停止或大幅減緩數(shù)據(jù)泄露事件的發(fā)生?
首先,企業(yè)要確保做到100%的合規(guī),包括PCI DSS、FISMA、GLB和SOX規(guī)范。第二,培訓(xùn)用戶的網(wǎng)絡(luò)安全技能,并提高用戶的網(wǎng)絡(luò)安全意識(shí)。據(jù)Verizon 2012年數(shù)據(jù)泄露調(diào)查報(bào)告指出,檢測(cè)漏洞最有效的辦法是用戶自己進(jìn)行內(nèi)部檢測(cè)。第三,企業(yè)需要每天進(jìn)行不間斷地PEN測(cè)試和瀏覽,而不是每周或每年,因 為網(wǎng)絡(luò)攻擊每時(shí)每刻都有可能發(fā)生。
對(duì)于數(shù)據(jù)泄露,企業(yè)不能坐視不管、無所作為,或繼續(xù)做著以前做的事情,沒有任何改變。在如今網(wǎng)絡(luò)犯罪猖獗的時(shí)代,企業(yè)需要變換模式,這也將是一個(gè)轉(zhuǎn)折點(diǎn)。企業(yè)不僅僅要有單純的應(yīng)對(duì)措施,還要有長(zhǎng)遠(yuǎn)的考慮和戰(zhàn)略計(jì)劃。
最后,企業(yè)還可以參照Gartner 2014年的“自適應(yīng)安全架構(gòu)”(Adaptive Security Architecture)。內(nèi)容總結(jié)如下:
企業(yè)網(wǎng)絡(luò)安全的主要挑戰(zhàn)
· 企業(yè)現(xiàn)有的阻止和預(yù)防能力并不足以應(yīng)對(duì)那些主動(dòng)的、高級(jí)的網(wǎng)絡(luò)攻擊;
· 大部分企業(yè)過度且單純投資于防御策略;
· 供應(yīng)商的檢測(cè)、預(yù)防、響應(yīng)和預(yù)測(cè)能力并沒有得到良好的整合,同時(shí)也增加了成本,降低了效率;
· 企業(yè)的信息安全管理不具備檢測(cè)高級(jí)攻擊的持續(xù)可見性;
· 企業(yè)系統(tǒng)可能會(huì)遭受持續(xù)的網(wǎng)絡(luò)攻擊,而企業(yè)僅采取“事件響應(yīng)”(指安全事件發(fā)生時(shí)去解決問題,而不是對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行持續(xù)的監(jiān)控和管理)的方式來解決是不對(duì)的。
處理建議
· 轉(zhuǎn)變態(tài)度,要從“事件響應(yīng)”轉(zhuǎn)變到“持續(xù)響應(yīng)”,企業(yè)內(nèi)部的系統(tǒng)需要持續(xù)的監(jiān)控和矯正;
· 采取自適應(yīng)的安全架構(gòu)來保護(hù)企業(yè)不受高級(jí)攻擊;
· 防御上的投資要少一些,將更多的資本投入到檢測(cè)、響應(yīng)和預(yù)測(cè)上;
· 支持環(huán)境感知網(wǎng)絡(luò),以及供應(yīng)商提供的終端和應(yīng)用安全保護(hù)平臺(tái),同時(shí)整合預(yù)測(cè)、防御、檢測(cè)和響應(yīng)的能力;
· 開發(fā)一個(gè)安全操作中心,支持持續(xù)檢測(cè),并負(fù)責(zé)持續(xù)威脅保護(hù)流程;
· 在IT堆棧的所有層上,包括網(wǎng)絡(luò)數(shù)據(jù)包、流量、操作系統(tǒng)活動(dòng)、內(nèi)容、用戶行為和應(yīng)用交易等方面進(jìn)行全面的、持續(xù)的檢測(cè)。
如今的網(wǎng)絡(luò)犯罪非常專業(yè),而且往往是國(guó)家層面的,這些網(wǎng)絡(luò)犯罪具有良好的經(jīng)濟(jì)支撐且組織周密。它們通常是對(duì)全球范圍的互聯(lián)網(wǎng)進(jìn)行全天候的攻擊,主要目標(biāo)是知識(shí)產(chǎn)權(quán)和金融資產(chǎn)。
當(dāng)然,企業(yè)不能僅僅達(dá)到合規(guī)性。他們還需要具有前瞻性和主動(dòng)性,其中包括持續(xù)的PEN測(cè)試、培訓(xùn)用戶,并關(guān)注最新的檢測(cè)IOC的方法。
Gartner提示:“如果你的網(wǎng)絡(luò)中有惡意軟件的話,那么一定要解決它。”作為企業(yè)的安全管理員,時(shí)刻檢測(cè)企業(yè)的網(wǎng)絡(luò)中是否有惡意流量,要比 解決一個(gè)惡意軟件更加重要、更加有意義。安全管理員可以先了解企業(yè)網(wǎng)絡(luò)中正常的狀態(tài)時(shí)怎樣的,然后就可以更加容易地檢測(cè)出新的流量或惡意流量。如果企業(yè)都 開始著手這些事情,并進(jìn)行全球范圍內(nèi)的交流和合作,那么就可以更加有效地解決網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等安全問題。由于網(wǎng)絡(luò)犯罪往往組織周密,同時(shí)它也是一種全 球范圍的犯罪活動(dòng),所以我們只有積極應(yīng)對(duì)、聯(lián)手合作才能有效應(yīng)對(duì)這一問題,保護(hù)企業(yè)的安全。