根據(jù)Verizon公司最新發(fā)布的2013年數(shù)據(jù)泄露調(diào)查報(bào)告（簡稱DBIR），要網(wǎng)絡(luò)攻擊者實(shí)施侵襲到受害者發(fā)現(xiàn)問題所間隔的時(shí)間已經(jīng)由最初的幾小時(shí)或幾天演變?yōu)槿缃竦膸讉€(gè)月甚至數(shù)年。這對(duì)于企業(yè)而言意味著什么？

[[72166]]

在Verizon的報(bào)告中可以發(fā)現(xiàn)，過去一年有66%的數(shù)據(jù)泄露事故經(jīng)過了數(shù)月甚至更長才為受害者察覺。也就是說大多數(shù)攻擊者都有能力悄無聲息地將數(shù)據(jù)帶出業(yè)務(wù)環(huán)境，且在被發(fā)現(xiàn)前花費(fèi)數(shù)周時(shí)間對(duì)目標(biāo)企業(yè)的IT系統(tǒng)開展偵察。

盡管入侵防御機(jī)制至關(guān)重要，但這份報(bào)告同時(shí)指出企業(yè)也必須接受殘酷的現(xiàn)實(shí)——世界上不存在堅(jiān)不可摧的壁壘。檢測(cè)與響應(yīng)同樣是防御體系中不可或缺的組成部分。

根據(jù)Veriozn的意見，企業(yè)不能再把檢測(cè)與響應(yīng)作為像備份計(jì)劃那樣出了問題才想到使用的手段；相反，它們應(yīng)該成為企業(yè)安全規(guī)劃中的核心環(huán)節(jié)。

舉例來說，記錄與監(jiān)控在檢測(cè)可能導(dǎo)致泄露事故的活動(dòng)、防止或者緩解泄露危害方面至關(guān)重要，移動(dòng)及云安全企業(yè)Neohapsis公司高級(jí)安全顧問PatrickHarbauer表示。

攻擊者在試探企業(yè)網(wǎng)絡(luò)并實(shí)施侵?jǐn)_方面擁有幾乎無限的資源與時(shí)間。

“惟一的希望在于加大對(duì)安全人員培訓(xùn)及自動(dòng)化工具部署的投入，這樣企業(yè)才能監(jiān)控自身系統(tǒng)中的惡意活動(dòng)，”他解釋道。

反思舊有安全模式

企業(yè)還需要與其它安全機(jī)構(gòu)及專業(yè)人士開展合作，以共享方式獲取更多知識(shí)與情報(bào)，Harbauer告訴我們。

隨著業(yè)務(wù)計(jì)算活動(dòng)量不斷向云環(huán)境過渡，我們必須為之搭配新型安全規(guī)范，虛擬化安全企業(yè)HyTrust公司總裁兼創(chuàng)始人EricChiu指出。

“我們需要將安全規(guī)范從以往效率低下甚至缺乏成效的‘由外而內(nèi)’視角轉(zhuǎn)換為如今‘由內(nèi)而外’視角，這樣才能同時(shí)應(yīng)對(duì)來自內(nèi)部與外部的先進(jìn)威脅，”Chiu建議道。

Chiu認(rèn)為，未來的監(jiān)控工作將以基于角色的系統(tǒng)為出發(fā)點(diǎn)。“基于角色的監(jiān)控（簡稱RBM）是最快、最強(qiáng)大也最具安全威脅識(shí)別能力的方案，其準(zhǔn)確率高達(dá)98%，”他告訴我們。

這類新方案在云環(huán)境中作用尤為明顯，因?yàn)樵骗h(huán)境下的“超級(jí)管理員”對(duì)于一切信息都擁有“超級(jí)權(quán)限”，只有新機(jī)制才能嚴(yán)格控制他們對(duì)每一套虛擬機(jī)的復(fù)制及修改活動(dòng)，Chiu表示。

“是時(shí)候?qū)Π踩ぷ鬟M(jìn)行反思了，既需要與新興技術(shù)保持一致、也會(huì)給我們的業(yè)務(wù)流程帶來改變，”他解釋道。

7成數(shù)據(jù)泄露事件由外部發(fā)現(xiàn)

為了強(qiáng)調(diào)未來變革的必要性，Verizon調(diào)查報(bào)告還提到約70%的數(shù)據(jù)泄露事件是由外部各方發(fā)現(xiàn)之后才反過來通知受害者。

報(bào)告指出，盡管這一比例相較前一年的92%有所改善，但事實(shí)證明各機(jī)構(gòu)的內(nèi)部檢測(cè)機(jī)制仍然相當(dāng)匱乏。

報(bào)告聲稱，數(shù)據(jù)泄露受害者往往需要從互聯(lián)網(wǎng)服務(wù)供應(yīng)商（簡稱ISP）、信息安全咨詢委員會(huì)（簡稱ISAC）以及專門追蹤安全威脅的情報(bào)機(jī)構(gòu)那里得知自身遭遇攻擊。

可疑活動(dòng)的檢測(cè)通常涉及與已知威脅活動(dòng)相關(guān)IP地址及域名的交互通信。

調(diào)查報(bào)告同時(shí)指出，由于這種新機(jī)制同時(shí)能夠檢測(cè)國有附屬機(jī)構(gòu)中存在的違規(guī)行為，因此匯總結(jié)果中的間諜活動(dòng)也占據(jù)了相當(dāng)?shù)谋壤?/p>

報(bào)告稱第三方欺詐識(shí)別是經(jīng)濟(jì)類攻擊活動(dòng)中的主要應(yīng)對(duì)方案，尤其是在小型零售企業(yè)、餐飲服務(wù)行業(yè)等人力與技術(shù)資源較為匱乏的領(lǐng)域中肩負(fù)著防范并偵測(cè)攻擊的重任。

目前最大的問題在于，第三方檢測(cè)機(jī)制只能在欺詐行為已經(jīng)開始、攻擊者嘗試使用偷來的支付卡數(shù)據(jù)之后方能奏效。

用戶響應(yīng)是最有效的內(nèi)部偵測(cè)手段

根據(jù)數(shù)據(jù)泄露報(bào)告的意見，用戶響應(yīng)是數(shù)據(jù)泄露最有效的內(nèi)部偵測(cè)手段。

“通常情況下，普通員工會(huì)在自己的日常工作中發(fā)現(xiàn)一些奇怪的現(xiàn)象或者征兆——例如系統(tǒng)性能降低或者出現(xiàn)可疑的電子郵件——他們應(yīng)該立即向IT部門或管理層發(fā)出警示，”報(bào)告指出。

根據(jù)Verizon公司的意見，堅(jiān)持對(duì)正確數(shù)據(jù)源進(jìn)行收集與維護(hù)能幫助企業(yè)獲得及時(shí)發(fā)現(xiàn)違規(guī)征兆所必需的信息儲(chǔ)備，并成為推動(dòng)深入調(diào)查的堅(jiān)實(shí)基礎(chǔ)。

企業(yè)應(yīng)當(dāng)明確托管安全系統(tǒng)所需要的記錄級(jí)別、需要記錄哪些網(wǎng)絡(luò)數(shù)據(jù)并制定合理的數(shù)據(jù)保留周期。

該報(bào)告稱，由于大多數(shù)數(shù)據(jù)泄露事件都無法在幾周或者幾個(gè)月內(nèi)得到曝光，因此數(shù)據(jù)保留周期也是安全保障中的重要因素。

盡管受害者自己的數(shù)據(jù)源是調(diào)查工作中的重要組成部分，但也不能因此忽視了外部各方提供的數(shù)據(jù)中所蘊(yùn)含的寶貴價(jià)值。

報(bào)告顯示，監(jiān)控系統(tǒng)、數(shù)據(jù)記錄、外部數(shù)據(jù)源、信息共享以及用戶安全意識(shí)等關(guān)鍵因素共同構(gòu)成了企業(yè)安全的嚴(yán)密保障，在此基礎(chǔ)之上我們才有機(jī)會(huì)降低攻擊者實(shí)施惡意活動(dòng)的成功機(jī)率。