美國人事管理局(OPM)、專業美容用品公司Sally Beauty Supply、星巴克、健康保險公司Anthem、成人交友中心和賓夕法尼亞州立大學發生的數據外泄事件在規模和影響上都不盡相同，但是這些事件都在安全漏洞方面為我們敲響了警鐘，同時也為我們總結了富貴的經驗，需要我們采取更多保護措施以防范黑客。

當數據被竊后，發生數據泄露的公司就成為了人們關注的焦點。由于他們試著進行損害控制，那些已經成為了入侵受害者的用戶自然很想知道在未來的公共監督中如何再次避免這種事件的發生。

STEALTHBits Technologies 公司策略與研究主管Jonathan Sander 稱：“這些數據泄露事件當中的許多并沒有為我們帶來多少經驗，但是它們為我們敲響了警鐘。這些數據泄露事件中很少有什么新東西。大多數的事件泄露都很以往的一樣，即安全性太差。”

Sander指出“從公共關系角度看，安全性注定會在這場競賽中輸掉。沒有人會為你成功地阻止了數據泄露而向你道賀，所有的人只會對你的失敗而嚴加指責。”為了在指責當中保護自己，一旦公司發生了數據泄露，他們會拿出免責協議，并掩蓋真相，封鎖消息。

我曾經接觸了幾家在近期發生了數據泄露事件的公司，并很快就收到了這些公司的相同回復，即目前還沒有人可以向我談論這些事件。這有點像一個黑暗的家庭秘密一樣，家庭中的所有成員都知道這件事，但是所有的成員都會為此保持沉默。

然而公司與家庭不同，他們需要保護公司的聲譽。為了自己的信譽，這些在近期發生數據泄露事件的公司當中的部分公司開始采取正確的應對方法。賓夕法尼亞州立大學、Sally Beauty 控股、成人交友中心和Anthem均發布了媒體新聞稿，列出了他們對攻擊的應對舉措，包括聘請法律顧問和第三方進行鑒定。

Sander稱：“美國人事局數據泄露事件在范圍和深度上證明了關于信息安全的所有疑慮。它們提醒我們任何時候文件都有泄露的風險，我們必須要高度重視這種風險。”

星巴克也為我們敲響了警鐘，提醒我們終端用戶無法保護自己的密碼。“在星巴克事件當中，黑客竊取了密碼和有關電子郵件。”如果人們在聊天網站中使用的密碼與他們的銀行卡密碼相同，那么他們的銀行賬戶就會很容易受到攻擊。Sander 稱：“用戶對待數據安全非常隨意。他們需要承擔起相應的責任。”

用戶端的人為錯誤并不是不法分子攻擊網絡的唯一途徑，因此公司需要重視對防范、檢測和響應計劃進行風險評估。Sander稱：“目前還沒有辦法知道數據泄露的所有途徑，因為泄露渠道非常的多。”

WhiteHat Security 的創始人Jeremiah Grossman談及這六起數據泄露事件時稱“目前我們還不知道所有的細節。但是我們知道這些數據泄露事件都是可以避免的。”公司不應當將這些數據泄露事件看作與己無關，而應當將這視為不法分子正變得越來越有經驗的一個警報。

這些事件給我們帶來的最寶貴經驗是要認清風險分析的價值。為了構建起最佳防御體系，公司需要知道漏洞在哪里。如果安全管理人員只有法規遵從性和規定列表，而沒有制定出一個策略，那么對工具和項目的投資都將無濟于事。

Grossman 稱：“人事局對受到攻擊的系統毫不知情，甚至不知道這個系統的存在。風險管理通常只是發生在黑客攻擊之后。我們首先應當知道自己在防范什么，威脅是什么，然后再關注相關的產品。”

安全研究公司Tripwire的總監Lamar Bailey稱，清楚自己正在保護什么這一點對于公司構建更為出色的防御系統來說非常關鍵。“我們需要了解所保護網絡的安全防護能力的下限。”Bailey稱：“產品和解決方案固然很好，但是它們并不是對安全性的全部投資。首先，我們必須要知道如何將它們與安全項目整合為一體。”

這些數據泄露事件也暴露了不法分子的險惡用心。盡管星巴克和Sally Beauty Supply事件看起來是他們是不法分子攫取經濟利益的受害者，但人事局、Anthem和賓夕法尼亞州立大學事件證明這些不法分子有著更為險惡的動機。

LogRhythm 的首席信息安全官James Carder 稱：“人事局存儲著大量的美國聯邦政府雇員身份信息。如果攻擊某個聯邦機構(+本站微信networkworldweixin)，那么你只能獲取那個的機構信息。但是如果將目標鎖定為人事局，那么你將獲取所有聯邦機構的信息。”

Carder指出這些漏洞是深深地根植于信息技術當中。其中包括訪問控制漏洞和身份管理漏洞。“通過嚴格授權和訪問控制(身份管理)的應用與數據保護應當成為所有聯邦機構的重點。身份管理非常重要，但是政府和大多數公司對此關注重并不高，然而它們卻可以欺騙目前絕大多數的安全控制措施。”

與此同時，Carder認為從這些數據泄露事件中得到的最大教訓是要消除人為的錯誤。“目前云環境非常受到歡迎。要將應用轉移至安全的基礎設施上，而不是試圖保護所有的東西。要消除人的因素。” Carder認為谷歌的Beyond Care可以有效保護公司不受黑客的攻擊。

網站可靠性工程經理Rory Ward和谷歌Google SRE虛擬化軟件技術文檔工程師Besty Beyer在他們的白皮書中稱：“周界已經不再是企業的地理位置。在這個周界之內，也不再是托管個人計算設備和企業應用的安全之地了。”

理論上，通過徹底重新設計基礎設施以消除人為錯誤是保護數據是最為理想的。但是實際上，只有當一個系統被建立起來后我們才能夠檢測它們的價值。

Grossman稱，在持續尋找保護數據安全的辦法時，公司還需要清楚他們可以通過制定一些如蜜罐等“絆發線策略”來抵御攻擊，將損失降到最低。

Grossman認為蜜罐功能效果可與防范劫匪在極短時間內對銀行進行搶劫的措施一樣。“這樣一來，我們不會損失所有的錢。”絆發線系統會警報網絡管理員有可疑行為入侵，并盡早對其進行檢測，以阻止不法分子訪問所有的東西。

最后一個教訓也非常重要。那就是不要對發生了數據泄露事件感到羞恥。因為畢竟世界上沒有打不開的門。Bailey稱：“如果你遇到了攻擊，那么同樣的攻擊肯定還在多個地方繼續發生著。在不將特殊信息泄露給競爭對手的情況下，我們應當彼此共享這些攻擊信息。”