根據(jù)開放安全基金會(huì)表示，迄今為止最嚴(yán)重的10起安全泄露事故中，3起事故發(fā)生在今年。這包括NYC Taxi & Limousine Commission的 1.73億條記錄泄露事故，易趣的1.45億條記錄泄露事故以及韓國信用局的1.04億條記錄泄露事故。而這還沒有算上據(jù)稱俄羅斯黑客竊取的12億用戶名和密碼，或者最近從韓國游戲網(wǎng)站發(fā)現(xiàn)被盜的2.2億條記錄。

根據(jù)開放安全基金會(huì)和Risk Based Security公司表示，2014年正在取代2013年成為泄露數(shù)據(jù)量最高的一年。

如果我們能夠從錯(cuò)誤中吸取教訓(xùn)，那么今年應(yīng)該會(huì)成為安全教育標(biāo)志性的一年。

下面是一些經(jīng)驗(yàn)教訓(xùn)：

1. 是時(shí)候認(rèn)真考慮人員配備問題

在信息安全最大的安全漏洞可能根本不是技術(shù)方面的問題。

“在2014年，大約40%的安全職位為空置，”惠普企業(yè)安全產(chǎn)品首席技術(shù)官Jacob West表示，“并且，當(dāng)你看看高級(jí)安全職位，空置率達(dá)到近49%。無論我們使用什么樣的技術(shù)，無論我們?nèi)绾闻ΡＷo(hù)系統(tǒng)，如果我們的隊(duì)伍人手不夠，我們將會(huì)看到我們的對(duì)手取得成功。”

West引用的數(shù)據(jù)來自于今年春天由惠普贊助Ponemon研究所發(fā)布的研究報(bào)告，其中顯示，70%的受訪者表示其安全部門人員不足。主要的原因是什么?根據(jù)43%的受訪者表示，原因在于企業(yè)未提供有競(jìng)爭(zhēng)力的薪酬。

根據(jù)5月份由IBM贊助的另一個(gè)Ponemon研究顯示，數(shù)據(jù)泄露事故的平均總成本上升了15%，達(dá)到350萬美元，而包含敏感信息和機(jī)密信息的每條丟失或被盜記錄的平均成本增長超過9%，從2013年的136美元增長到今年的145美元。對(duì)此，企業(yè)可能要重新考慮其安全人員預(yù)算了。

2.了解你的代碼

在過去10年中，很多企業(yè)都采用了軟件安全最佳做法，在基礎(chǔ)層面構(gòu)建安全性。

.然而，這僅僅是對(duì)于他們自己編寫的代碼。

“今年暴露出的問題之一是，企業(yè)并沒有自己編寫大部分軟件，Shellshock和Heartbleed等漏洞更是說明了這一點(diǎn)，”惠普的West表示，“軟件其實(shí)是拼裝的，而不是編寫的。我們拿來商業(yè)組件和開源組件，然后在上面構(gòu)建一些專有性。”

這樣做的結(jié)果是，有些企業(yè)花了幾個(gè)星期，甚至幾個(gè)月，試圖整理其系統(tǒng)，以及弄清楚他們?cè)谀睦锸褂昧艘资芄舭姹镜腟SL。

企業(yè)需要先徹底了解他們正在使用什么應(yīng)用程序，他們?cè)谀睦镆约叭绾问褂眠@些程序，以及其相對(duì)重要性。自動(dòng)掃描系統(tǒng)在這方面可能有所幫助，但最終，這還是需要人的努力。

3.滲透測(cè)試是謊言

滲透測(cè)試是安全審計(jì)的組成部分。事實(shí)上，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)中有這一要求。

滲透測(cè)試公司Rook Security首席執(zhí)行官J.J.Thompson表示：“遭受過數(shù)據(jù)泄露事故的每個(gè)公司都有滲透測(cè)試報(bào)告稱攻擊者無法獲取數(shù)據(jù)，或者，如果他們可以得到，但并不重要的數(shù)據(jù)。”

那么，為什么滲透測(cè)試不能暴露潛在安全漏洞，讓公司能夠解決這些問題呢?

“這很簡單，”Thompson表示，“滲透測(cè)試報(bào)告一般都是謊言。”

或者換句話說，與真正的攻擊者相比，滲透測(cè)試人員能做的和不能做的更加有限制。

“你無法冒充別人，因?yàn)檫@并不是我們的測(cè)試方式，”Thompson表示，“你無法建立一個(gè)與Facebook個(gè)人資料相關(guān)的釣魚網(wǎng)站，因?yàn)檫@太離譜。”

真正的攻擊者因?yàn)槿肭忠患夜荆呀?jīng)觸犯了法律，他們可能并不擔(dān)心觸犯其他法律。而白帽安全公司則不太愿意通過跟蹤其客戶或供應(yīng)商系統(tǒng)而入侵一家公司?；蛘呙俺湔賳T，或損壞設(shè)備，或劫持企業(yè)員工的朋友或家庭成員的社交媒體賬號(hào)來入侵公司。#p#

4.物理安全遇見網(wǎng)絡(luò)安全

最近攻擊團(tuán)伙瞄準(zhǔn)了美國東海岸的一家公司(+微信關(guān)注網(wǎng)絡(luò)世界)，他們繞過防火墻，提取其領(lǐng)導(dǎo)層的數(shù)據(jù)，并獲取即將舉行的活動(dòng)的信息，以及這些活動(dòng)將要使用的設(shè)施。

John Cohen表示：“當(dāng)局認(rèn)為，這是該組織前期規(guī)劃工作的一部分。”他此前是美國國土安全局的反恐協(xié)調(diào)員兼情報(bào)和分析代理副秘書，現(xiàn)在是安全供應(yīng)商Encryptics公司首席戰(zhàn)略顧問。

Cohen稱：“這里同時(shí)涉及了物理安全和網(wǎng)絡(luò)安全。”

這也可以反過來進(jìn)行，通過攻擊設(shè)備物理地入侵來進(jìn)行數(shù)字盜竊

企業(yè)安全必須更加全面。闖入辦公現(xiàn)場(chǎng)的盜賊可能一直在尋找易于突破的電子設(shè)備，或者他們可以部署鍵盤記錄器。

5. 做好失敗計(jì)劃，第一部分

如果你肯定地知道攻擊者將要入侵你的系統(tǒng)，你的做法會(huì)有什么不同?

在今年的高曝光率數(shù)據(jù)泄露事故后，很多人都在問自己這個(gè)問題，并開始以不同的角度思考安全問題。

“在我看來，以及其他人看來，這是心態(tài)的轉(zhuǎn)變，”CompTIA的IT安全社區(qū)主席兼Reflexion Networks公司產(chǎn)品管理副總裁Scott Barlow，“企業(yè)都假設(shè)他們的數(shù)據(jù)將被泄露，或者已經(jīng)被泄露，并且他們正在采取措施。”

這些步驟包括對(duì)員工桌面的數(shù)據(jù)、文件服務(wù)器內(nèi)的數(shù)據(jù)甚至電子郵件進(jìn)行加密。

同時(shí)，名為“標(biāo)記化”的程序取代了包含隨機(jī)生成代碼或令牌的銀行卡數(shù)字，在這些數(shù)字離開POS機(jī)之前。只有付款處理器知道真正的數(shù)字，零售商獲得令牌，而這對(duì)于入侵系統(tǒng)的攻擊者毫無價(jià)值。

而這讓支付處理器成為目標(biāo)，但事實(shí)上，它們一直都是攻擊目標(biāo)。

FirstDat公司網(wǎng)絡(luò)安全解決方案總經(jīng)理兼高級(jí)副總裁Paul Kleinschnitz表示：“攻擊者已經(jīng)瞄上我們。”該公司負(fù)責(zé)美國40%的支付處理。

與此同時(shí)，Target和Home Depots將不會(huì)再面臨失去支付數(shù)據(jù)的風(fēng)險(xiǎn)。

Kleinschnitz表示：“我們正在幫助商家減小這種風(fēng)險(xiǎn)。”

6. 做好失敗計(jì)劃，第二部分

如果摩根大通能夠被攻擊，那么，每個(gè)公司都容易受到攻擊。

Weisbrod Matteis & Copley 律師事務(wù)所計(jì)算機(jī)犯罪專業(yè)律師Peter Toren表示：“即使你部署了最好的安全措施，你仍然可能被攻擊。”Toren曾在司法部計(jì)算機(jī)犯罪部門擔(dān)任了8年的聯(lián)邦檢察官。

企業(yè)如何應(yīng)對(duì)這種數(shù)據(jù)泄露事故可以帶來很大的不同。

在去年年底，Target公司遭受重大數(shù)據(jù)[注]泄露事故，導(dǎo)致4000萬支付卡賬戶泄露，因?yàn)樵谔幚磉@個(gè)事故時(shí)所面臨的問題，該公司的首席執(zhí)行官和首席技術(shù)官都失去了他們的工作。

企業(yè)需要提前做好應(yīng)對(duì)泄露事故的準(zhǔn)備工作，并早在泄露事故發(fā)生之前做好準(zhǔn)備工作。

“他們需要有一個(gè)計(jì)劃，并提前與公關(guān)公司進(jìn)行合作，”他表示，“而不是在事故后才聯(lián)系公關(guān)公司。”(鄒錚編譯)