多年來(lái)，企業(yè)已經(jīng)投入大量資源來(lái)購(gòu)買和部署新的安全產(chǎn)品以防止網(wǎng)絡(luò)攻擊，但卻沒(méi)有對(duì)數(shù)據(jù)泄露檢測(cè)投資太多。與此同時(shí)，很多企業(yè)不得不將IT特別是信息安全資源專注在滿足合規(guī)要求上，這也導(dǎo)致企業(yè)只有很少的資源來(lái)進(jìn)行數(shù)據(jù)泄露檢測(cè)。

我們?cè)?013年Verizon數(shù)據(jù)泄露事故調(diào)查報(bào)告(DBIR)中看到了企業(yè)對(duì)數(shù)據(jù)泄露檢測(cè)(重要的信息安全功能)的長(zhǎng)期疏忽帶來(lái)的結(jié)果，這份報(bào)告指出，幾乎70%的數(shù)據(jù)泄露事故都是由第三方檢測(cè)出的，而不是受害企業(yè)。

這個(gè)統(tǒng)計(jì)數(shù)據(jù)似乎很糟糕，但更糟糕的是，Verizon還發(fā)現(xiàn)，在內(nèi)部檢測(cè)的數(shù)據(jù)泄露中，通常是由普通用戶發(fā)現(xiàn)，而不是IT專家或安全專家。這表明，在企業(yè)為事故檢測(cè)部署的人員、流程和技術(shù)方面肯定存在廣泛的問(wèn)題。

本文中，我們將討論企業(yè)沒(méi)有及時(shí)檢測(cè)數(shù)據(jù)泄露事故的最主要的原因，以及企業(yè)如何提高其數(shù)據(jù)泄露檢測(cè)能力。

數(shù)據(jù)泄露檢測(cè)：為什么這么難?

在大型企業(yè)檢測(cè)事故通常很困難，基于這些企業(yè)的規(guī)模以及所使用的設(shè)備數(shù)量。定義、搜索和識(shí)別未經(jīng)授權(quán)活動(dòng)，正如俗話所說(shuō)，就像是大海撈針。而在較小型企業(yè)，潛在目標(biāo)的數(shù)量可能少得多，但他們卻缺乏人員和資源來(lái)進(jìn)行檢測(cè)。

為什么企業(yè)難以檢測(cè)日益復(fù)雜的數(shù)據(jù)泄露事故呢?Red October惡意活動(dòng)就是說(shuō)明這個(gè)問(wèn)題的很好的例子。作為惡意活動(dòng)的一部分，攻擊者會(huì)簡(jiǎn)單地通過(guò)釣魚(yú)攻擊來(lái)滲透企業(yè)，然后利用Java、微軟Office等中的漏洞。當(dāng)成功進(jìn)入企業(yè)后，攻擊者會(huì)試圖獲取授權(quán)用戶的登錄憑證，用來(lái)掩蓋自己的行動(dòng)。通過(guò)使用這些技術(shù)，他們能夠長(zhǎng)期駐留在企業(yè)中，竊取敏感信息，同時(shí)保持不被發(fā)現(xiàn)。對(duì)于攻擊面擴(kuò)大和/或預(yù)算緊張的企業(yè)而言，發(fā)現(xiàn)Red October這樣的惡意活動(dòng)可能會(huì)非常困難。

另外，請(qǐng)記住，在Verizon DBIR中，很多被第三方檢測(cè)到的事故本來(lái)是可以通過(guò)適當(dāng)部署PCI DSS安全控制來(lái)預(yù)防，或者通過(guò)更密切的監(jiān)控系統(tǒng)所檢測(cè)到的。IT團(tuán)隊(duì)可能只是將重點(diǎn)放在了錯(cuò)誤的地方，或者預(yù)算和人員限制制約了他們應(yīng)對(duì)復(fù)雜事故的能力。雖然與檢測(cè)掃描網(wǎng)絡(luò)或系統(tǒng)的互聯(lián)網(wǎng)主機(jī)端口是否被非針對(duì)性惡意軟件感染相比，檢測(cè)數(shù)據(jù)泄露事故更加困難，但企業(yè)和安全專家必須記住，這是一個(gè)更有價(jià)值的任務(wù)，也是值得付出努力的工作。#p#

改善企業(yè)網(wǎng)絡(luò)監(jiān)控以盡早發(fā)現(xiàn)數(shù)據(jù)泄露

當(dāng)涉及數(shù)據(jù)泄露檢測(cè)時(shí)，有很多原因可能造成企業(yè)的失敗，這意味著并沒(méi)有萬(wàn)能解決方案來(lái)解決這個(gè)問(wèn)題，企業(yè)必須部署各種安全控制。

作為DBIR的一部分，Verizon推薦使用SANS協(xié)會(huì)的20個(gè)關(guān)鍵安全控制，但這份報(bào)告還指出，這些是企業(yè)應(yīng)該部署的眾所周知的安全控制。這些SANS控制可以幫助你更有效地利用當(dāng)前工具來(lái)檢測(cè)事故。例如，部署配置監(jiān)控和管理(包括文件完整性檢查)可以幫助檢測(cè)出攻擊者在企業(yè)網(wǎng)絡(luò)內(nèi)立足所需的偏離行為。系統(tǒng)還可以被設(shè)置成類似“只讀文件”的模式，即只寫(xiě)位置是在網(wǎng)絡(luò)設(shè)備上;這種配置將有助于使文件完整性檢查更容易地分析數(shù)據(jù)，因?yàn)椴粫?huì)有合法變更日志記錄。另外，檢查在系統(tǒng)上啟動(dòng)的所有進(jìn)程，以及調(diào)查第一次在系統(tǒng)上運(yùn)行的可執(zhí)行文件也可以識(shí)別正在進(jìn)行的攻擊。

NetFlow數(shù)據(jù)和完整數(shù)據(jù)包分析的網(wǎng)絡(luò)監(jiān)控也可以幫助識(shí)別可疑網(wǎng)絡(luò)連接，以便進(jìn)一步調(diào)查。這種監(jiān)控可以利用異常檢測(cè)來(lái)發(fā)現(xiàn)重要數(shù)據(jù)被送去調(diào)查的新的外部系統(tǒng)。網(wǎng)絡(luò)監(jiān)控還可以幫助企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露的其他潛在指標(biāo)，包括以下內(nèi)容：惡意無(wú)線接入點(diǎn)、未經(jīng)授權(quán)互聯(lián)網(wǎng)連接、流氓撥號(hào)連接、連接到其他企業(yè)、第三方服務(wù)提供商(包括云服務(wù)提供商)、未經(jīng)授權(quán)VPN連接、其他加密連接以及其他可能可疑并需要進(jìn)行調(diào)查的外部連接。還可以監(jiān)控已知惡意IP地址。

下一個(gè)步驟是開(kāi)始追蹤安全事故。對(duì)于不同企業(yè)而言，對(duì)每個(gè)事故追蹤的深度和具體細(xì)節(jié)可能有所不同，但利用一個(gè)現(xiàn)有事故信息共享框架是一個(gè)良好的開(kāi)端。一旦開(kāi)始進(jìn)行數(shù)據(jù)收集過(guò)程，來(lái)自并非由內(nèi)部檢測(cè)的事故的數(shù)據(jù)可用于分析為什么它們沒(méi)有被內(nèi)部檢測(cè)到。這可以作為根本原因分析的一部分，以確定哪些安全控制失效以及如何防止漏洞在未來(lái)被利用。隨著企業(yè)改善其事故響應(yīng)過(guò)程，擴(kuò)展數(shù)據(jù)收集作為響應(yīng)的一部分，他們會(huì)發(fā)現(xiàn)可用于檢測(cè)和預(yù)防這種事故的新控制。

具有嚴(yán)格安全要求的企業(yè)應(yīng)該投入大量資源到專門負(fù)責(zé)事故響應(yīng)的個(gè)人(或者甚至是團(tuán)隊(duì))。這個(gè)人應(yīng)該專注于事故響應(yīng)、分析事故數(shù)據(jù)以及發(fā)現(xiàn)可用于預(yù)防事故、控制事故影響或縮短事故檢測(cè)時(shí)間的安全控制，而不需要承擔(dān)其他日常監(jiān)控責(zé)任。對(duì)于其他潛在防御方案，企業(yè)可以部署類似用于APT攻擊檢測(cè)的戰(zhàn)略，這需要仔細(xì)監(jiān)控企業(yè)的網(wǎng)絡(luò)和系統(tǒng)。例如，Verizon在其DBIR數(shù)據(jù)集中增加了更多間諜活動(dòng)有關(guān)的事事故，部分因?yàn)楸O(jiān)控IOC下屬團(tuán)體的有效性，這支持在企業(yè)網(wǎng)絡(luò)使用IOC。在所謂的APT攻擊和DBIR分析的常見(jiàn)攻擊之間存在差異性，但這種差異正在減小。為了執(zhí)行這種監(jiān)控，企業(yè)可以檢查其系統(tǒng)中是否存在Mandiant在其APT1報(bào)告中發(fā)現(xiàn)的IOC，該報(bào)告數(shù)據(jù)來(lái)自信息共享和分析中心(ISAC)或其他可信機(jī)構(gòu)。

通過(guò)增加幾種新的監(jiān)控，用戶隱私可能會(huì)受到顯著影響，因此，企業(yè)應(yīng)該告知用戶其活動(dòng)正受到監(jiān)控，并確保采取適當(dāng)?shù)牟襟E來(lái)保護(hù)用戶隱私。企業(yè)可能不想提供關(guān)于監(jiān)控目標(biāo)的具體細(xì)節(jié)，這樣一來(lái)，攻擊者可能需要作出更多努力來(lái)確定究竟哪些正受到監(jiān)控。保護(hù)收集的用戶數(shù)據(jù)也應(yīng)該是優(yōu)先事項(xiàng)，可能通過(guò)向高管報(bào)告監(jiān)控工作的進(jìn)展以及隱私如何受到保護(hù)來(lái)實(shí)現(xiàn)。

總結(jié)

由于攻擊者正在不斷進(jìn)步，安全事故檢測(cè)方法也需要跟上其步伐，雖然事故預(yù)防能力還有所欠缺。企業(yè)可以增加用于事故檢測(cè)的資源，并找出檢測(cè)和防止未來(lái)事故的最有效的控制。很顯然，只是遵守標(biāo)準(zhǔn)合規(guī)要求并不足以保護(hù)企業(yè)免受高級(jí)攻擊者的威脅。