最近關于大規模數據泄露的報道，令所有人都感到震驚。客戶擔心他們的財務和個人信息遭到劫持。受到威脅的組織擔心近期和長期的業務影響。其他組織擔心他們是否會成為下一個。但有兩件事是確定的。數據泄露的成本將非常昂貴，并且不會是最后一次發生。

那么有個大家都在問的一個大問題是，我該怎么做呢?

一、受影響的消費者應該盡快更換支付卡及相關密碼

對于消費者來說，如果您在任何發生泄露的的零售商(無論是在線還是親自購物)進行過購物行為，現在要做的第一件事就是致電您的銀行或發卡機構并更換您的信用卡。如果您將自己的卡綁定到自動支付其他東西，這會是一個大麻煩。接下來要做的就是上網并更改密碼。如果您對很多不同的帳戶使用相同的密碼，請立即更改。最后，在主要信用報告機構開始監測您的信息，如果發生任何不對勁的地方立即報告。

除了那些受到個別影響的人之外，今天在全國各地的董事會會議室被問到的問題是組織可以做些什么?如何確保這些不會發生在他們身上?

二、受影響的組織首先要進行的動作

許多現有的安全解決方案不足以保護新的數字網絡。為確保您能夠保護您的組織，您需要建立一個可以使用的網絡和安全基準。這包括三個關鍵要素：

1. 進行風險評估

徹底的風險評估有助于確保保護和監控業務當中至關重要的因素。由于許多原因，復雜的網絡意味著您可能無法保護和監控一切。您需要通過不斷調整安全措施與業務目標，將這種評估集中在對您的業務產生最大影響的風險上。

2. 將您的安全性落實到您的網絡架構

網絡體系結構和設計通常始于良好，但隨著時間的推移，網絡規模和復雜性不斷增長，要么使得安全解決方案效率下降，要么更復雜。無論哪種方式，您最終都會遇到網絡盲點，資產保護不足以滿足您的安全要求，或者更糟糕的是，無法保護您的資產。要充分了解自己的優勢和劣勢，重要的是要識別這些優勢，進行有效的利用與控制。

您還需要評估關鍵數據的可用攻擊途徑，包括鏈接漏洞。這可能會幫助您優先考慮要解決哪些漏洞。有各種可用于指導您的框架，如ISO、CIS關鍵安全控制(SANS Top 20)和 NIST網絡安全框架 。

3. 確定資產

網絡正在快速增長，并且越來越多地跨越各種生態系統，從虛擬化數據中心到多云環境。結合連接到網絡的端點設備數量不斷增加以及物聯網設備的爆炸性增長，建立和維護準確的設備清單可能具有挑戰性。復雜的環境并不總能為他們不斷變化的基礎設施提供清晰的集中可見性。

鑒于成功的數據泄露量持續增加，您可能需要投資一些可以通過網絡查看的工具來識別設備、操作系統和補丁級別。在大型環境中，您還需要將這些信息與良好的威脅情報聯系起來，以便您可以查看并確定最高風險的優先級。

三、防范數據盜竊及數據泄露

一旦掌握了基準可見性和控制策略，就需要部署能夠主動保護重要數據和資源免遭盜竊和危害的解決方案和策略。以下是每個組織需要考慮的七個關鍵戰略：

1. 實踐良好的安全保障

我們一直在觀察被攻擊成功的漏洞，這些漏洞在過去幾年中很容易被獲得。雖然新的攻擊是一個真正的風險，但大多數實際上是由數周、數月甚至數年的攻擊造成的。實際上，絕大多數攻擊針對的是已經有補丁可用的漏洞，至少已有三年時間，其中有的甚至已有十年之久。

每個組織都必須立即開始修補每個盤存的設備，然后建立正式的修補和更新協議。接下來，在確保您所控制的設備已打補丁之后，您需要確保那些您不能控制的設備被正確分割、隔離或拒絕訪問。您還需要確定并替換或刪除那些無法修補或保護的系統。理想情況下，整個過程需要自動化、跟蹤和測量。

2. 將本地和全球威脅情報與SIEM解決方案相結合

高級 威脅情報 使組織能夠縮短檢測威脅的時間，縮小檢測與響應之間的差距。這是通過利用已經在您的網絡中收集的威脅情報開始的，這也需要旨在共享和關聯信息并采取協調行動的安全工具。

僅靠地方情報是不夠的。您還需要威脅源，以便及時了解全球最新的威脅趨勢和漏洞利用情況。將這些數據轉換為可與本地智能和基礎設施交互關聯的可操作智能可能需要 安全信息事件管理 ( SIEM )和 Web應用防火墻 (WAF)技術，這些技術可以使用數據，將其轉換為可操作的策略，甚至自動將其應用于保護您的網絡。

當然，分布式、高度彈性的網絡也在不斷變化。SIEM工具允許您匯總來自整個網絡的數據，將其與本地和全球威脅情報源相關聯，然后提供即時詳細信息，如妥協指標和違反安全策略的指標。

3. 部署基于簽名的安全工具

因為大多數被利用的漏洞都是已知的，所以針對這些漏洞的攻擊可以通過簽名來檢測。基于特征碼的檢測工具可以讓您快速查找，并阻止任何嘗試的滲透，或執行針對已知漏洞的漏洞利用。

基于簽名的工具在復雜的環境中也很有效，例如物聯網和其他無法更新的互連設備越來越多地被組織采用的零補丁網絡部分，盡管它們已被證明極易受到攻擊。

4. 添加基于行為的分析和數據消毒

并非所有威脅都有可識別的簽名。復雜的攻擊可以規避保護并逃避檢測。這意味著您還需要 高級威脅 防護工具，如可動態跟蹤的沙箱、反匯編和識別 0Day 惡意軟件 變種，并將該數據與其他安全基礎架構相關聯。 用戶實體行為分析UEBA 工具還可以更輕松地識別內部安全威脅并找到單個犯罪者。

說起來容易做起來難。攻擊者還使用先進的技術，如學習和模仿合法的流量模式，以逃避檢測。安全工具不僅需要檢查和檢查數據和應用程序，以尋找低掛惡意軟件，而且還要提供深入檢查和分析，以便隨時間查找和關聯模式，以檢測并確定惡意目的。在可能的情況下，智能安全系統需要能夠主動自動進行干預，以便在攻擊開始之前阻止攻擊。

一種新的趨勢是用于數據清理的內容撤防和重建(CDR)工具。CDR處理傳入文件，解構它們，并刪除活動內容。此方法通過主動從特定文件中刪除惡意內容來強化零日文件保護策略，從而防止意外加載連接的惡意軟件和惡意可執行文件。

5. 使用Web應用程序防火墻關閉基于Web的攻擊向量

許多威脅不再通過傳統途徑進入網絡。基于Web的攻擊利用應用程序的指數級增長，特別是那些旨在直接在數據中心查詢和挖掘信息的應用程序。

由于對自主開發和定制的Web應用程序的需求增長如此之快，許多組織根本沒有時間或資源在部署前充分測試和加固它們。縮小差距的一個有效方法是實施WAF。這些安全設備專用于提供深度高性能檢測，這遠遠超出傳統NGFW技術所進行的Web應用程序流量檢測。

6. 更換您的孤立點解決方案

由于網絡不斷變化，在網絡或數據中心邊緣部署安全安全設備或平臺的傳統已不再適用。大多數這些傳統的點安全技術也傾向于孤立運行，這意味著他們只能看到和響應當前的威脅。

但考慮到今天的多向量和智能威脅的性質，安全解決方案需要互連成一個可以跨越并適應彈性網絡架構的單一、緊密結合的系統。動態集成和關聯提供了整個網絡的實時可視性，這是至關重要的，因為您無法防御您看不到的威脅。此外，一個集成的、協調的安全解決方案系統使組織能夠主動和智能地將網絡攻擊作為一個協調系統進行攻擊，無論這些威脅發生在哪里。

首先查找旨在使用諸如開放式API，通用操作系統或統一管理工具等分享智能的工具。安全結構體系結構還將傳統上孤立的安全工具互連起來，使他們能夠共享和關聯信息。他們還提供集中協調，單一玻璃管理，一致的策略分配以及對攻擊的自動協調響應。它還可以動態強化安全和訪問點，隔離受影響的設備和惡意軟件，識別易受攻擊或受到危害的系統，并啟動取證分析和修復。

7. 對您的網絡進行分段

鑒于網絡化生態系統的流動性以及跨越多個網絡的廣泛應用和數據流，建立并維護有效和安全的網絡分段比以往任何時候都更加重要，以此防止威脅在網絡中水平分布。通過部署內部網絡分段防火墻并建立宏觀和微觀分割策略來防止威脅擴散，組織可以顯著提高安全性。我們的目標是在網絡外部深處創建一致的策略和執行，以管理和保護數據和應用程序的橫向移動。

在單個環境中收集和關聯大量數據或互連跨越多個網絡環境的情況下，建立分割控制尤為重要，這樣的分割控制有利于檢測能夠穿透一個網段的周邊的威脅并且 橫向移動攻擊 的情況。如果沒有分割和檢測工具，這些威脅可以自由收集，破壞和泄露數據。

四、有些東西需要改變

盡管當今數據泄露的規模和頻率令人擔憂，但攻擊組織所遭受的并不是獨一無二的。具有高度靈活性和適應性的網絡環境的太多組織，仍然依靠孤立的第二代安全解決方案和策略來保護它們。然而，今天的安全無比重要。它需要將規劃、人員和流程與適應性安全技術相結合，旨在動態擴展到當今的數字網絡，在整個分布式網絡中查看和協調，并作為單一的主動防御系統自動響應，以解決針對它們的高級網絡威脅。