毫无疑问,目前数据泄露事件频频发生,大型企业如Target、eBay、JP Morgan Chase和Home Depot等公司也都出现过非常严重的数据泄露事件。据2014年Verizon PCI DSS 的报告显示,仅有11%的企业完全没有遭遇过数据泄露等安全事件。据悉,JP Morgan的数据泄露是由于一名员工在家办公引起的,攻击者利用VPN连接来提取数据,而Target则是因为一封钓鱼邮件而泄露了上百万条信用卡数据记录。
攻击在线业务的方式多种多样,而黑客可能只选取一种方式来进行网络攻击,但是安全和管理专家必须要掌握或考虑到各种各样的攻击方式来应对黑客的攻击。这并不仅仅是IT问题,而是管理的问题。Gwen Thomas在其名为Alpha Males and Data Disasters一书中对数据管理描述得非常详细,她认为数据管理是保护企业安全的基础。在Alpha Male部分,Thomas提到了一种典型的中层管理方式,强调管理人员在管理数据的过程中要自己来做决定,只有在没有其他选择的时候才可以咨询其他经理人或者企业高层。这样的方式对于经理人直接管理数据非常有意义,但是也可能会危及企业的安全。
管理和治理之间有什么区别呢?数据治理是指将企业、规范、决策权、员工责任和信息系统作为其执行信息决策流程的依据。数据治理有三个任务:1)积极定义管理规范,2)迅速解决那些因不遵守规范而引起的问题,3)在保护和服务于数据利益相关者时要遵守规范。
现在回到数据泄露的问题上,以上提到的数据泄露事件中又有多少与数据治理相关呢?答案是所有的。基于此,可以看看企业将如何保护企业系统的安全?同时,企业要怎样做才能停止或大幅减缓数据泄露事件的发生?
首先,企业要确保做到100%的合规,包括PCI DSS、FISMA、GLB和SOX规范。第二,培训用户的网络安全技能,并提高用户的网络安全意识。据Verizon 2012年数据泄露调查报告指出,检测漏洞最有效的办法是用户自己进行内部检测。第三,企业需要每天进行不间断地PEN测试和浏览,而不是每周或每年,因为网络攻击每时每刻都有可能发生。
对于数据泄露,企业不能坐视不管、无所作为,或继续做着以前做的事情,没有任何改变。在如今网络犯罪猖獗的时代,企业需要变换模式,这也将是一个转折点。企业不仅仅要有单纯的应对措施,还要有长远的考虑和战略计划。
最后,企业还可以参照Gartner 2014年的“自适应安全架构”(Adaptive Security Architecture)。内容总结如下:
企业网络安全的主要挑战
· 企业现有的阻止和预防能力并不足以应对那些主动的、高级的网络攻击;
· 大部分企业过度且单纯投资于防御策略;
· 供应商的检测、预防、响应和预测能力并没有得到良好的整合,同时也增加了成本,降低了效率;
· 企业的信息安全管理不具备检测高级攻击的持续可见性;
· 企业系统可能会遭受持续的网络攻击,而企业仅采取“事件响应”(指安全事件发生时去解决问题,而不是对企业网络进行持续的监控和管理)的方式来解决是不对的。
处理建议
· 转变态度,要从“事件响应”转变到“持续响应”,企业内部的系统需要持续的监控和矫正;
· 采取自适应的安全架构来保护企业不受高级攻击;
· 防御上的投资要少一些,将更多的资本投入到检测、响应和预测上;
· 支持环境感知网络,以及供应商提供的终端和应用安全保护平台,同时整合预测、防御、检测和响应的能力;
· 开发一个安全操作中心,支持持续检测,并负责持续威胁保护流程;
· 在IT堆栈的所有层上,包括网络数据包、流量、操作系统活动、内容、用户行为和应用交易等方面进行全面的、持续的检测。
如今的网络犯罪非常专业,而且往往是国家层面的,这些网络犯罪具有良好的经济支撑且组织周密。它们通常是对全球范围的互联网进行全天候的攻击,主要目标是知识产权和金融资产。
当然,企业不能仅仅达到合规性。他们还需要具有前瞻性和主动性,其中包括持续的PEN测试、培训用户,并关注最新的检测IOC的方法。
Gartner提示:“如果你的网络中有恶意软件的话,那么一定要解决它。”作为企业的安全管理员,时刻检测企业的网络中是否有恶意流量,要比解决一个恶意软件更加重要、更加有意义。安全管理员可以先了解企业网络中正常的状态时怎样的,然后就可以更加容易地检测出新的流量或恶意流量。如果企业都开始着手这些事情,并进行全球范围内的交流和合作,那么就可以更加有效地解决网络攻击和数据泄露等安全问题。由于网络犯罪往往组织周密,同时它也是一种全球范围的犯罪活动,所以我们只有积极应对、联手合作才能有效应对这一问题,保护企业的安全。(王旋编译)