根據Verizon公司最新發布的2013年數據泄露調查報告（簡稱DBIR），要網絡攻擊者實施侵襲到受害者發現問題所間隔的時間已經由最初的幾小時或幾天演變為如今的幾個月甚至數年。這對于企業而言意味著什么？

[[72166]]

在Verizon的報告中可以發現，過去一年有66%的數據泄露事故經過了數月甚至更長才為受害者察覺。也就是說大多數攻擊者都有能力悄無聲息地將數據帶出業務環境，且在被發現前花費數周時間對目標企業的IT系統開展偵察。

盡管入侵防御機制至關重要，但這份報告同時指出企業也必須接受殘酷的現實——世界上不存在堅不可摧的壁壘。檢測與響應同樣是防御體系中不可或缺的組成部分。

根據Veriozn的意見，企業不能再把檢測與響應作為像備份計劃那樣出了問題才想到使用的手段；相反，它們應該成為企業安全規劃中的核心環節。

舉例來說，記錄與監控在檢測可能導致泄露事故的活動、防止或者緩解泄露危害方面至關重要，移動及云安全企業Neohapsis公司高級安全顧問PatrickHarbauer表示。

攻擊者在試探企業網絡并實施侵擾方面擁有幾乎無限的資源與時間。

“惟一的希望在于加大對安全人員培訓及自動化工具部署的投入，這樣企業才能監控自身系統中的惡意活動，”他解釋道。

反思舊有安全模式

企業還需要與其它安全機構及專業人士開展合作，以共享方式獲取更多知識與情報，Harbauer告訴我們。

隨著業務計算活動量不斷向云環境過渡，我們必須為之搭配新型安全規范，虛擬化安全企業HyTrust公司總裁兼創始人EricChiu指出。

“我們需要將安全規范從以往效率低下甚至缺乏成效的‘由外而內’視角轉換為如今‘由內而外’視角，這樣才能同時應對來自內部與外部的先進威脅，”Chiu建議道。

Chiu認為，未來的監控工作將以基于角色的系統為出發點。“基于角色的監控（簡稱RBM）是最快、最強大也最具安全威脅識別能力的方案，其準確率高達98%，”他告訴我們。

這類新方案在云環境中作用尤為明顯，因為云環境下的“超級管理員”對于一切信息都擁有“超級權限”，只有新機制才能嚴格控制他們對每一套虛擬機的復制及修改活動，Chiu表示。

“是時候對安全工作進行反思了，既需要與新興技術保持一致、也會給我們的業務流程帶來改變，”他解釋道。

7成數據泄露事件由外部發現

為了強調未來變革的必要性，Verizon調查報告還提到約70%的數據泄露事件是由外部各方發現之后才反過來通知受害者。

報告指出，盡管這一比例相較前一年的92%有所改善，但事實證明各機構的內部檢測機制仍然相當匱乏。

報告聲稱，數據泄露受害者往往需要從互聯網服務供應商（簡稱ISP）、信息安全咨詢委員會（簡稱ISAC）以及專門追蹤安全威脅的情報機構那里得知自身遭遇攻擊。

可疑活動的檢測通常涉及與已知威脅活動相關IP地址及域名的交互通信。

調查報告同時指出，由于這種新機制同時能夠檢測國有附屬機構中存在的違規行為，因此匯總結果中的間諜活動也占據了相當的比例。

報告稱第三方欺詐識別是經濟類攻擊活動中的主要應對方案，尤其是在小型零售企業、餐飲服務行業等人力與技術資源較為匱乏的領域中肩負著防范并偵測攻擊的重任。

目前最大的問題在于，第三方檢測機制只能在欺詐行為已經開始、攻擊者嘗試使用偷來的支付卡數據之后方能奏效。

用戶響應是最有效的內部偵測手段

根據數據泄露報告的意見，用戶響應是數據泄露最有效的內部偵測手段。

“通常情況下，普通員工會在自己的日常工作中發現一些奇怪的現象或者征兆——例如系統性能降低或者出現可疑的電子郵件——他們應該立即向IT部門或管理層發出警示，”報告指出。

根據Verizon公司的意見，堅持對正確數據源進行收集與維護能幫助企業獲得及時發現違規征兆所必需的信息儲備，并成為推動深入調查的堅實基礎。

企業應當明確托管安全系統所需要的記錄級別、需要記錄哪些網絡數據并制定合理的數據保留周期。

該報告稱，由于大多數數據泄露事件都無法在幾周或者幾個月內得到曝光，因此數據保留周期也是安全保障中的重要因素。

盡管受害者自己的數據源是調查工作中的重要組成部分，但也不能因此忽視了外部各方提供的數據中所蘊含的寶貴價值。

報告顯示，監控系統、數據記錄、外部數據源、信息共享以及用戶安全意識等關鍵因素共同構成了企業安全的嚴密保障，在此基礎之上我們才有機會降低攻擊者實施惡意活動的成功機率。