防止數據泄露的6個關鍵

■馬漢

防止數據泄露的6個關鍵

■馬漢

黑客攻擊仿佛總是快人一步，我們能做的，只能是走在黑客的前面，將黑客攻擊拒之門外。那么如何提防這些不速之客的造訪？作為企業的首席安全官或首席信息安全官們，又該做些什么來防止數據泄露呢？

一、要假設你已經被攻破

惡意軟件是無法被阻止的，因為惡意軟件的演變非常迅速。據熊貓實驗室報告，2013年共發現3000萬個新的惡意軟件威脅，平均每天就有2000個之多。另據火眼公司的報告，82%的惡意軟件在激活后一小時就告消失。所以安全專家們必須要接受網絡終將被攻破的事實，專注于如何消除已經侵入的黑客，別到時候悔之晚矣。

二、學習用戶的典型行為

網絡犯罪已轉向通過獲取認證和模擬用戶的方法竊取大量數據，這種技術允許他們長駐內存。據火眼旗下的公司Mandiant的調查，每一次的數據泄露都100%地使用了認證獲取技術。最近，威瑞森（Verizon）2104數據泄露報告稱，2013年76%的網絡入侵都包含認證獲取。讓系統學習員工的行為方式，隨著時間的推移，系統就可以理解正常的認證員工活動，辯認非正常活動。這也是安全團隊識別隱形攻擊的唯一方法。

三、量化可疑活動的風險

第一眼看到一個來自倫敦通過VPN登錄進來的銷售副總裁仿佛沒什么不對勁，可當你圍繞整個用戶進程仔細檢查它的特點及一系列操作后或許就不是那么回事了。要更好的斷定與該進程關聯的風險，從安全解決方案的角度應該圍繞該進程進行發生時間和活動情況分析，比如，從該位置登錄的頻次，是否有銷售部門其他成員也表現出類似行為等。通過量化每個潛在可疑活動的附加風險，安全分析人士將能更好地識別潛在數據泄露的真正風險，挖掘用戶行為智能。

四、消除假陽性警報中的白噪聲

假陽性安全警報的概念是隨著首個入侵檢測系統進入市場的。因為對這些工具固有的、有時也是合理的懷疑，導致安全團隊有時會反應遲鈍。這些工具中的安全信息和事件管理系統（SIEM）發出大量且缺乏足夠優先級的的警報，讓人很難從這種可能被視為“噪音”的警報中發現真正異常的安全事件。因此類似2013年塔吉特數據泄露這樣的事件，將毫無疑問地會再次發生。安全團隊需要借助優先級，才可以花時間分析出對公司最寶貴數據存在潛在風險的警報。

五、消除人為錯誤

據波耐蒙研究所和賽門鐵克2013年發布的一份報告顯示，2012年因人為錯誤導致的數據泄露超過三分之二。自動安全監測系統可以幫助企業檢測他們的組織是否缺乏系統控制和數據治理。

六、培訓員工保護好他們的用戶憑證

如果缺乏意識，任何一名員工都可能給公司的數據安全帶來風險。雖然系統被黑是不可避免的，但公司員工仍然應該知道，釣魚計劃攻擊是什么樣子，以及它們是如何偽裝成可能的各種樣子，讓人將用戶名和密碼交給潛在攻擊者的。這將有助于消除攻擊的頻次，加大攻擊者竊取用戶憑證的難度，防止大規模的數據泄露。