最近，有件事情讓我感到無比興奮，這就是終于搞到了一份萬眾矚目的Verizon2013年數(shù)據(jù)泄漏調(diào)查報(bào)告(DBIR)。實(shí)際上，我早就發(fā)現(xiàn)這份按年發(fā)布的報(bào)告非常有價(jià)值。今年已經(jīng)是該報(bào)告發(fā)布的第6個(gè)版本了，其中涉及到的具體內(nèi)容包括了621起獲得證實(shí)的數(shù)據(jù)泄露事故以及超過47000起提交報(bào)告的安全事件。為了完成今年的報(bào)告，全球范圍內(nèi)的18家機(jī)構(gòu)付出了巨大努力。盡管這份報(bào)告長達(dá)63頁，但基本內(nèi)容依然非常適于閱讀;這讓我不得不承認(rèn)，韋德·貝克以及該公司確實(shí)完成了一項(xiàng)非常出色的工作。由于我非常喜歡該報(bào)告采用的基調(diào)，結(jié)果導(dǎo)致在進(jìn)行閱讀時(shí)多次笑出聲來(通常情況下，笑聲與信息安全是不會(huì)在同一時(shí)刻出現(xiàn)的)。這份報(bào)告引用了大量非常出色的內(nèi)容，從美國全國汽車比賽協(xié)會(huì)到傳奇嘻哈說唱歌手大個(gè)小子以及另類搖滾樂隊(duì)暴力妖姬等等不一而足。今年，該報(bào)告中給出的最新準(zhǔn)則就是：“認(rèn)清敵人'才是實(shí)現(xiàn)有效防御與處理的關(guān)鍵所在。”對此，我有幾點(diǎn)個(gè)人看法：

公司需要將關(guān)注重點(diǎn)放在對手是如何答復(fù)客戶提出的問題上。說起來，對手究竟會(huì)是誰呢?畢竟，對于弗里斯特調(diào)查公司的客戶來說，這就屬于一個(gè)經(jīng)常會(huì)遇到的問題。不久之前，曼迪安特公司發(fā)布的高級持續(xù)性威脅一號(APT1)報(bào)告就激起了公眾針對國家贊助攻擊者這一問題的大量爭論;現(xiàn)在，Verizon的數(shù)據(jù)與分析則給了大家深入觀察這類威脅制造者的更多不同角度。實(shí)際上，該報(bào)告在第一張圖表中就列出了威脅制造者以及相關(guān)組織的概況。由于它采用的是基于總體的鳥瞰視角，因此我個(gè)人建議公司就應(yīng)當(dāng)將執(zhí)行層的所有相關(guān)人員都召集進(jìn)來。實(shí)際上，由于這種針對威脅制造者進(jìn)行概要分析是由第三方開展的，往往就可以讓很多讀者都產(chǎn)生出深刻的共鳴來。

此外，該報(bào)告還打破了目前相當(dāng)普遍的一種錯(cuò)誤認(rèn)識。這就是：“本公司的規(guī)模實(shí)在是太小了，不至于成為攻擊者關(guān)注的目標(biāo)”。在報(bào)告中，Verizon是這么寫的：“我們發(fā)現(xiàn)，從巨型跨國公司到甚至連IT技術(shù)方面專門人員都沒有的微型企業(yè)中都出現(xiàn)過受害者的身影”。從文章下面給出的圖表中，大家可以發(fā)現(xiàn)很多員工總數(shù)小于1000甚至100的公司都成為了間諜攻擊的受害者。該圖表還顯示出工業(yè)間諜所攻擊目標(biāo)的主要類型。具體來說，制造業(yè)、交通運(yùn)輸業(yè)以及信息業(yè)都已經(jīng)成為有針對性專業(yè)間諜活動(dòng)的重災(zāi)區(qū)。如果對垂直行業(yè)的相關(guān)情況感興趣，也可以利用北美產(chǎn)業(yè)分類體系(NAICS)來進(jìn)行詳細(xì)查詢。

在防范網(wǎng)絡(luò)釣魚攻擊方面，我們所做的工作實(shí)際上非常糟糕。在報(bào)告中，Verizon是這么總結(jié)的：“在所有攻擊中，有超過95%的都屬于和國家贊助間諜活動(dòng)相關(guān)的情況;而為了在受害者系統(tǒng)中建立起立足點(diǎn)來，網(wǎng)絡(luò)釣魚就成為了一種非常有效的攻擊手段”。目前，針對網(wǎng)絡(luò)釣魚類威脅的防范，傳統(tǒng)電子郵件以及網(wǎng)絡(luò)安全廠商的實(shí)際表現(xiàn)非常差勁。由于現(xiàn)有廠商無法解決當(dāng)前面臨的威脅，這就給火眼之類新興公司的進(jìn)入以及消滅威脅的嘗試創(chuàng)造出極佳機(jī)會(huì)來。當(dāng)然，我們也已經(jīng)看到，傳統(tǒng)安全廠商正致力于開發(fā)并部署類似火眼的自有項(xiàng)目了。不過，這些解決方案并沒有包含新技術(shù);毫無疑問，Verizon提供的數(shù)據(jù)資料中就包括有幾家已經(jīng)部署過上述“反高級持續(xù)性威脅”解決方案的受害者。

此外，針對網(wǎng)絡(luò)釣魚攻擊在間諜活動(dòng)中泛濫的現(xiàn)實(shí)情況，火眼也在最新發(fā)布的威脅報(bào)告中作出了證實(shí)。該公司發(fā)現(xiàn)，在APT攻擊中，網(wǎng)絡(luò)釣魚已經(jīng)成為使用的最主要手段。僅在2012年第1季度，這項(xiàng)數(shù)字就上升了56%　。

在明年的報(bào)告中，我想看到哪些方面的新內(nèi)容。就個(gè)人而言，我希望能夠看到Verizon擺脫由第三方提供違規(guī)行為以及事故的做法。除了使用自有的攻擊參與者定義以外，我尤其希望看到利用第三方網(wǎng)絡(luò)的外部威脅制造者對于公司造成損失情況的具體數(shù)據(jù)。舉例來說，我非常想知道，公司因?yàn)閷⑼饴?lián)網(wǎng)連接提供給供應(yīng)鏈合作伙伴，結(jié)果遭到侵入而蒙受損失的情況到底有多少。畢竟，對于弗里斯特調(diào)查公司的廣大客戶來說，風(fēng)險(xiǎn)中涉及到第三方的情況就屬于最受關(guān)注的問題。

這究竟意味著什么。如果貴公司屬于間諜活動(dòng)的潛在目標(biāo)，反網(wǎng)絡(luò)釣魚就應(yīng)當(dāng)成為安全投資方面的一個(gè)關(guān)鍵項(xiàng)目。我強(qiáng)烈建議，公司在作出購買任何新解決方案的決定之前，都應(yīng)該利用滲透測試公司提供的專業(yè)服務(wù)來對現(xiàn)有環(huán)境進(jìn)行網(wǎng)絡(luò)釣魚方面的針對性測試。當(dāng)然，這項(xiàng)工作也可以由一支內(nèi)部人員組成的特別分隊(duì)來完成。這里的最終目標(biāo)就是了解，內(nèi)部網(wǎng)絡(luò)中是否已經(jīng)存在有利用已知以及未知漏洞進(jìn)行攻擊的武器化惡意軟件。換句話說，公司在部署新安全控制措施之前，就需要對現(xiàn)有產(chǎn)品進(jìn)行驗(yàn)證。而對于正在進(jìn)行評估的產(chǎn)品，公司應(yīng)該利用第三方來進(jìn)行現(xiàn)場測試。實(shí)際上，曼迪安特的APT1報(bào)告以及DFIR中的各項(xiàng)數(shù)據(jù)就有助于對這些服務(wù)的實(shí)際價(jià)值進(jìn)行確認(rèn)。相形之下，這些服務(wù)涉及到的費(fèi)用僅僅只有公司購買新安全控制措施價(jià)格的毫微，卻能夠?yàn)閷?shí)現(xiàn)最有效保護(hù)措施提供極大幫助。畢竟，沒有公司希望遇到，因?yàn)椴渴鸬慕鉀Q方案沒有達(dá)到事前要求，而不得不直接淘汰掉更換新品這樣的尷尬境地。

公司一旦掌握了內(nèi)部存在對于新技術(shù)的實(shí)際需求，就可以采取文章下面列出來的幾種反網(wǎng)絡(luò)釣魚措施：

1)網(wǎng)絡(luò)安全性。在采購基于網(wǎng)絡(luò)的新解決方案之前，公司應(yīng)該與現(xiàn)有安全供應(yīng)商進(jìn)行溝通，詢問他們在應(yīng)對這種威脅時(shí)會(huì)采取的實(shí)際措施。畢竟，最佳解決方案還是僅僅在現(xiàn)有安全組合中加入一項(xiàng)新功能就達(dá)到防范的目標(biāo)。但如果現(xiàn)有供應(yīng)商更關(guān)注改進(jìn)版反惡意軟件與高級持續(xù)性威脅功能的推銷，公司就應(yīng)當(dāng)斷然表示拒絕，并指出不會(huì)再為已經(jīng)沒有實(shí)際效果的傳統(tǒng)模式以及新能力同時(shí)付費(fèi)。畢竟，可擴(kuò)展性、全局部署以及SSL檢驗(yàn)會(huì)讓這類控件的使用變得非常復(fù)雜?，F(xiàn)今，幾乎所有的網(wǎng)絡(luò)安全供應(yīng)商都非常重視該領(lǐng)域的客戶。

2)網(wǎng)絡(luò)可見度。此外，公司還應(yīng)該在現(xiàn)有環(huán)境中部署一套網(wǎng)絡(luò)分析與可見度(NAV)解決方案。這樣的話，如果意料之中的預(yù)防性控制措施失效出現(xiàn)時(shí)，就能夠啟用依然可靠的檢測控制。實(shí)際上，對于交付、指揮與控制之類項(xiàng)目，這些解決方案能夠與滲出一樣進(jìn)行全面檢測。至于供應(yīng)商能夠提供的解決方案，則包括有：Damballa、索萊拉網(wǎng)絡(luò)、RSA的Netwitness以及Lancope的Stealthwatch。

3)終端安全。為了確保網(wǎng)絡(luò)足夠安全，公司不應(yīng)當(dāng)單單依靠基于已知惡意代碼檢測模式的控件。除此之外，公司還需要部署利用主機(jī)來對惡意代碼進(jìn)行檢測的新型終端解決方案。這些類型的解決方案包括有：RSA的惡意軟件情報(bào)計(jì)劃ECAT、SourceFire的云安全解決方案FireAMP、Trusteer的網(wǎng)絡(luò)犯罪防范解決方案以及Bit9的企業(yè)級白名單解決方案。還有其它兩種選擇就是，利用虛擬化模式來為終端提供保護(hù)的Bromium與Invincea。當(dāng)然，對于采用異構(gòu)環(huán)境的巨型公司來說，終端安全解決方案的全面部署就屬于一項(xiàng)非常大的挑戰(zhàn);因此，正確的做法就是從小處入手慢慢進(jìn)行擴(kuò)展，依靠全系統(tǒng)的運(yùn)營過程達(dá)到將解決方案逐步普及的目標(biāo)。此時(shí)，公司就應(yīng)當(dāng)選擇從高價(jià)值團(tuán)隊(duì)(上層管理人員以及網(wǎng)絡(luò)管理人員)之處開始入手。

請務(wù)必牢記，首先要完成的工作就是對現(xiàn)有安全體系進(jìn)行全面審核，然后才是根據(jù)實(shí)際需求情況添加必要的額外控件。而在部署任何安全控件時(shí)，都應(yīng)當(dāng)采取數(shù)據(jù)集中模式，確保它們能夠獲得有效的直接控制，而不至于出現(xiàn)僅僅只是處在邊角位置的錯(cuò)誤狀態(tài)。一定不要忘記，控件是有可能失效的;因此，公司必須建立起一支功能全面的事件響應(yīng)團(tuán)隊(duì)來。