從近期出現(xiàn)的數(shù)據(jù)泄密新聞中，我們看到由于企業(yè)未能抵御安全攻擊，使得黑客攻擊成功，并竊取了這些企業(yè)的重要數(shù)據(jù)。Target公司失去了客戶的信用卡和借記卡數(shù)據(jù)，Adobe公司損失了其客戶的信用卡信息以及ID和密碼，易趣公司也泄漏了其客戶的個人信息包括電子郵件地址和物理地址。

[[118368]]

這些數(shù)據(jù)泄漏事故已經(jīng)在個人消費者心中造成了不安，并且讓泄密的公司因為名譽和品牌的損害造成數(shù)百萬美元的損失，更不用說緩解和恢復(fù)的成本。而我們所知道的安全泄漏事故僅僅只是一小部分，這也是企業(yè)不得不披露客戶數(shù)據(jù)被泄露的消息，但一些其內(nèi)部信息的盜竊我們卻無從知道了。

只要是有價值個人信息，攻擊者都會試圖訪問，其目標(biāo)可能是立即使用竊取來的財務(wù)數(shù)據(jù)，或者只是給公司及其客戶造成損害。

不幸的是，在攻擊者和防御企業(yè)之間的技術(shù)差距正越來越大。在信息安全隊伍趕超攻擊者之前，我們都將繼續(xù)看到攻擊者橫行跋扈。然而，企業(yè)是可以采取幾個措施來減緩甚至逆轉(zhuǎn)這一趨勢的，下面是可以幫助企業(yè)的4個步驟。

1、一切都開始和結(jié)束于教育

我們應(yīng)該在大學(xué)水平提高教育和研究，從而提高未來信息安全專業(yè)人員的技能，以及培養(yǎng)更多合格的人才進(jìn)入該工作領(lǐng)域。在這些安全專業(yè)人士(對抗惡意攻擊的前線)被雇用后，雇主需要投資于其繼續(xù)教育和培訓(xùn)，以領(lǐng)先于不斷變化的安全威脅。只有這些受過教育的個人能夠預(yù)測下一個漏洞和攻擊浪潮，以及在攻擊演變成一場危機(jī)之前對付它們。

2、聰明地消費

關(guān)鍵是要充分利用我們有限的安全預(yù)算。隨著越來越多的關(guān)鍵數(shù)據(jù)連接到互聯(lián)網(wǎng)，資金雄厚的網(wǎng)絡(luò)罪犯也有了越來越多的選擇目標(biāo)。高知名度的公司總是會被攻擊，而中小企業(yè)現(xiàn)在也正成為目標(biāo)，因為他們更容易被攻擊。雖然回報可能變小，但攻擊者有著很高的成功概率和很低的被抓的機(jī)率。

作為一個行業(yè)，我們需要對最有可能的威脅提供所有可用的安全預(yù)算。雖然說，所有公司都應(yīng)該注意APT和DDoS這樣的常見攻擊，我們面對的最大威脅之一是未受教育的員工。無論是淪為社會工程學(xué)受害者的高管還是選擇不使用最佳網(wǎng)絡(luò)配置技術(shù)的IT人員，我們經(jīng)常讓自己容易受到可預(yù)防的攻擊。

3、讓應(yīng)用程序開發(fā)人員參與進(jìn)來

我們都知道，增強(qiáng)的安全性會阻礙應(yīng)用程序的可用性，并且由于開發(fā)人員的時間和預(yù)算限制，安全需求被擠出軟件開發(fā)過程。在構(gòu)建計算機(jī)應(yīng)用程序和構(gòu)建安全的計算機(jī)應(yīng)用程序之間有著巨大的差別。在前期構(gòu)建安全到應(yīng)用程序中的成本并不會超過在應(yīng)用程序構(gòu)建后再做出調(diào)整的成本，或者在漏洞被利用后清理局面。

4、獲得管理層的支持

即使安全專家都意識到了需要做的事情，他們可能難以說服管理層來分配資源來實現(xiàn)其目標(biāo)。我們需要提高我們的能力，為更好的工具和更好的培訓(xùn)做業(yè)務(wù)案例。如果你不能說服首席財務(wù)官或預(yù)算分析師，你可能無法完成你的工作。提高教育的部分在于提高安全專業(yè)人士對安全的理論重要性的認(rèn)識，還有對安全的投資回報率的認(rèn)識。當(dāng)你能夠明確向管理層展示安全如何可以為企業(yè)節(jié)省資金，或者甚至保住其工作時，你就能獲得預(yù)算。

在過去一年中發(fā)生的數(shù)據(jù)泄漏事故給企業(yè)和個人造成了很大的傷害，但也許他們可以因禍得福。如果這些網(wǎng)絡(luò)攻擊能夠作為安全行業(yè)和企業(yè)的警鐘，并推動行業(yè)改善教育、預(yù)算、工具和方法，那么我們也許能夠避免未來更昂貴和更危險的漏洞。如果網(wǎng)絡(luò)攻擊成為國家攻擊選擇的武器，或者最終損害國家的關(guān)鍵基礎(chǔ)設(shè)施，丟失的密碼和信用卡數(shù)據(jù)將不值得一提。