毫無疑問，目前數據泄露事件頻頻發生，大型企業如Target、eBay、JP Morgan Chase和Home Depot等公司也都出現過非常嚴重的數據泄露事件。據2014年Verizon PCI DSS 的報告顯示，僅有11%的企業完全沒有遭遇過數據泄露等安全事件。據悉，JP Morgan的數據泄露是由于一名員工在家辦公引起的，攻擊者利用VPN連接來提取數據，而Target則是因為一封釣魚郵件而泄露了上百萬條信用卡數據記錄。

[[121174]]

攻擊在線業務的方式多種多樣，而黑客可能只選取一種方式來進行網絡攻擊，但是安全和管理專家必須要掌握或考慮到各種各樣的攻擊方式來應對黑客的攻擊。這并不僅僅是IT問題，而是管理的問題。Gwen Thomas在其名為Alpha Males and Data Disasters一書中對數據管理描述得非常詳細，她認為數據管理是保護企業安全的基礎。在Alpha Male部分，Thomas提到了一種典型的中層管理方式，強調管理人員在管理數據的過程中要自己來做決定，只有在沒有其他選擇的時候才可以咨詢其他經理人或者企業高層。這樣的方式對于經理人直接管理數據非常有意義，但是也可能會危及企業的安全。

管理和治理之間有什么區別呢?數據治理是指將企業、規范、決策權、員工責任和信息系統作為其執行信息決策流程的依據。數據治理有三個任務：1)積極定義管理規范，2)迅速解決那些因不遵守規范而引起的問題，3)在保護和服務于數據利益相關者時要遵守規范。

現在回到數據泄露的問題上，以上提到的數據泄露事件中又有多少與數據治理相關呢?答案是所有的?；诖耍梢钥纯雌髽I將如何保護企業系統的安全?同時，企業要怎樣做才能停止或大幅減緩數據泄露事件的發生?

首先，企業要確保做到100%的合規，包括PCI DSS、FISMA、GLB和SOX規范。第二，培訓用戶的網絡安全技能，并提高用戶的網絡安全意識。據Verizon 2012年數據泄露調查報告指出，檢測漏洞最有效的辦法是用戶自己進行內部檢測。第三，企業需要每天進行不間斷地PEN測試和瀏覽，而不是每周或每年，因為網絡攻擊每時每刻都有可能發生。

對于數據泄露，企業不能坐視不管、無所作為，或繼續做著以前做的事情，沒有任何改變。在如今網絡犯罪猖獗的時代，企業需要變換模式，這也將是一個轉折點。企業不僅僅要有單純的應對措施，還要有長遠的考慮和戰略計劃。

最后，企業還可以參照Gartner 2014年的“自適應安全架構”(Adaptive Security Architecture)。內容總結如下：

企業網絡安全的主要挑戰

· 企業現有的阻止和預防能力并不足以應對那些主動的、高級的網絡攻擊;

· 大部分企業過度且單純投資于防御策略;

· 供應商的檢測、預防、響應和預測能力并沒有得到良好的整合，同時也增加了成本，降低了效率;

· 企業的信息安全管理不具備檢測高級攻擊的持續可見性;

· 企業系統可能會遭受持續的網絡攻擊，而企業僅采取“事件響應”(指安全事件發生時去解決問題，而不是對企業網絡進行持續的監控和管理)的方式來解決是不對的。

處理建議

· 轉變態度，要從“事件響應”轉變到“持續響應”，企業內部的系統需要持續的監控和矯正;

· 采取自適應的安全架構來保護企業不受高級攻擊;

· 防御上的投資要少一些，將更多的資本投入到檢測、響應和預測上;

· 支持環境感知網絡，以及供應商提供的終端和應用安全保護平臺，同時整合預測、防御、檢測和響應的能力;

· 開發一個安全操作中心，支持持續檢測，并負責持續威脅保護流程;

· 在IT堆棧的所有層上，包括網絡數據包、流量、操作系統活動、內容、用戶行為和應用交易等方面進行全面的、持續的檢測。

如今的網絡犯罪非常專業，而且往往是國家層面的，這些網絡犯罪具有良好的經濟支撐且組織周密。它們通常是對全球范圍的互聯網進行全天候的攻擊，主要目標是知識產權和金融資產。

當然，企業不能僅僅達到合規性。他們還需要具有前瞻性和主動性，其中包括持續的PEN測試、培訓用戶，并關注最新的檢測IOC的方法。

Gartner提示：“如果你的網絡中有惡意軟件的話，那么一定要解決它。”作為企業的安全管理員，時刻檢測企業的網絡中是否有惡意流量，要比解決一個惡意軟件更加重要、更加有意義。安全管理員可以先了解企業網絡中正常的狀態時怎樣的，然后就可以更加容易地檢測出新的流量或惡意流量。如果企業都開始著手這些事情，并進行全球范圍內的交流和合作，那么就可以更加有效地解決網絡攻擊和數據泄露等安全問題。由于網絡犯罪往往組織周密，同時它也是一種全球范圍的犯罪活動，所以我們只有積極應對、聯手合作才能有效應對這一問題，保護企業的安全。(王旋編譯)