完结小说排行榜,灵域,古风

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

企業(yè)如何提高數(shù)據(jù)泄露檢測能力?

多年來，企業(yè)已經(jīng)投入大量資源來購買和部署新的安全產(chǎn)品以防止網(wǎng)絡(luò)攻擊，但卻沒有對數(shù)據(jù)泄露檢測投資太多。與此同時，很多企業(yè)不得不將IT特別是信息安全資源專注在滿足合規(guī)要求上，這也導(dǎo)致企業(yè)只有很少的資源來進行數(shù)據(jù)泄露檢測。

成都創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的鞏留網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

我們在2013年Verizon數(shù)據(jù)泄露事故調(diào)查報告(DBIR)中看到了企業(yè)對數(shù)據(jù)泄露檢測(重要的信息安全功能)的長期疏忽帶來的結(jié)果，這份報告指出，幾乎70%的數(shù)據(jù)泄露事故都是由第三方檢測出的，而不是受害企業(yè)。

這個統(tǒng)計數(shù)據(jù)似乎很糟糕，但更糟糕的是，Verizon還發(fā)現(xiàn)，在內(nèi)部檢測的數(shù)據(jù)泄露中，通常是由普通用戶發(fā)現(xiàn)，而不是IT專家或安全專家。這表明，在企業(yè)為事故檢測部署的人員、流程和技術(shù)方面肯定存在廣泛的問題。

本文中，我們將討論企業(yè)沒有及時檢測數(shù)據(jù)泄露事故的最主要的原因，以及企業(yè)如何提高其數(shù)據(jù)泄露檢測能力。

數(shù)據(jù)泄露檢測：為什么這么難?

在大型企業(yè)檢測事故通常很困難，基于這些企業(yè)的規(guī)模以及所使用的設(shè)備數(shù)量。定義、搜索和識別未經(jīng)授權(quán)活動，正如俗話所說，就像是大海撈針。而在較小型企業(yè)，潛在目標(biāo)的數(shù)量可能少得多，但他們卻缺乏人員和資源來進行檢測。

為什么企業(yè)難以檢測日益復(fù)雜的數(shù)據(jù)泄露事故呢?Red October惡意活動就是說明這個問題的很好的例子。作為惡意活動的一部分，攻擊者會簡單地通過釣魚攻擊來滲透企業(yè)，然后利用Java、微軟Office等中的漏洞。當(dāng)成功進入企業(yè)后，攻擊者會試圖獲取授權(quán)用戶的登錄憑證，用來掩蓋自己的行動。通過使用這些技術(shù)，他們能夠長期駐留在企業(yè)中，竊取敏感信息，同時保持不被發(fā)現(xiàn)。對于攻擊面擴大和/或預(yù)算緊張的企業(yè)而言，發(fā)現(xiàn)Red October這樣的惡意活動可能會非常困難。

另外，請記住，在Verizon DBIR中，很多被第三方檢測到的事故本來是可以通過適當(dāng)部署PCI DSS安全控制來預(yù)防，或者通過更密切的監(jiān)控系統(tǒng)所檢測到的。IT團隊可能只是將重點放在了錯誤的地方，或者預(yù)算和人員限制制約了他們應(yīng)對復(fù)雜事故的能力。雖然與檢測掃描網(wǎng)絡(luò)或系統(tǒng)的互聯(lián)網(wǎng)主機端口是否被非針對性惡意軟件感染相比，檢測數(shù)據(jù)泄露事故更加困難，但企業(yè)和安全專家必須記住，這是一個更有價值的任務(wù)，也是值得付出努力的工作。#p#

改善企業(yè)網(wǎng)絡(luò)監(jiān)控以盡早發(fā)現(xiàn)數(shù)據(jù)泄露

當(dāng)涉及數(shù)據(jù)泄露檢測時，有很多原因可能造成企業(yè)的失敗，這意味著并沒有萬能解決方案來解決這個問題，企業(yè)必須部署各種安全控制。

作為DBIR的一部分，Verizon推薦使用SANS協(xié)會的20個關(guān)鍵安全控制，但這份報告還指出，這些是企業(yè)應(yīng)該部署的眾所周知的安全控制。這些SANS控制可以幫助你更有效地利用當(dāng)前工具來檢測事故。例如，部署配置監(jiān)控和管理(包括文件完整性檢查)可以幫助檢測出攻擊者在企業(yè)網(wǎng)絡(luò)內(nèi)立足所需的偏離行為。系統(tǒng)還可以被設(shè)置成類似“只讀文件”的模式，即只寫位置是在網(wǎng)絡(luò)設(shè)備上;這種配置將有助于使文件完整性檢查更容易地分析數(shù)據(jù)，因為不會有合法變更日志記錄。另外，檢查在系統(tǒng)上啟動的所有進程，以及調(diào)查第一次在系統(tǒng)上運行的可執(zhí)行文件也可以識別正在進行的攻擊。

NetFlow數(shù)據(jù)和完整數(shù)據(jù)包分析的網(wǎng)絡(luò)監(jiān)控也可以幫助識別可疑網(wǎng)絡(luò)連接，以便進一步調(diào)查。這種監(jiān)控可以利用異常檢測來發(fā)現(xiàn)重要數(shù)據(jù)被送去調(diào)查的新的外部系統(tǒng)。網(wǎng)絡(luò)監(jiān)控還可以幫助企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露的其他潛在指標(biāo)，包括以下內(nèi)容：惡意無線接入點、未經(jīng)授權(quán)互聯(lián)網(wǎng)連接、流氓撥號連接、連接到其他企業(yè)、第三方服務(wù)提供商(包括云服務(wù)提供商)、未經(jīng)授權(quán)VPN連接、其他加密連接以及其他可能可疑并需要進行調(diào)查的外部連接。還可以監(jiān)控已知惡意IP地址。

下一個步驟是開始追蹤安全事故。對于不同企業(yè)而言，對每個事故追蹤的深度和具體細(xì)節(jié)可能有所不同，但利用一個現(xiàn)有事故信息共享框架是一個良好的開端。一旦開始進行數(shù)據(jù)收集過程，來自并非由內(nèi)部檢測的事故的數(shù)據(jù)可用于分析為什么它們沒有被內(nèi)部檢測到。這可以作為根本原因分析的一部分，以確定哪些安全控制失效以及如何防止漏洞在未來被利用。隨著企業(yè)改善其事故響應(yīng)過程，擴展數(shù)據(jù)收集作為響應(yīng)的一部分，他們會發(fā)現(xiàn)可用于檢測和預(yù)防這種事故的新控制。

具有嚴(yán)格安全要求的企業(yè)應(yīng)該投入大量資源到專門負(fù)責(zé)事故響應(yīng)的個人(或者甚至是團隊)。這個人應(yīng)該專注于事故響應(yīng)、分析事故數(shù)據(jù)以及發(fā)現(xiàn)可用于預(yù)防事故、控制事故影響或縮短事故檢測時間的安全控制，而不需要承擔(dān)其他日常監(jiān)控責(zé)任。對于其他潛在防御方案，企業(yè)可以部署類似用于APT攻擊檢測的戰(zhàn)略，這需要仔細(xì)監(jiān)控企業(yè)的網(wǎng)絡(luò)和系統(tǒng)。例如，Verizon在其DBIR數(shù)據(jù)集中增加了更多間諜活動有關(guān)的事事故，部分因為監(jiān)控IOC下屬團體的有效性，這支持在企業(yè)網(wǎng)絡(luò)使用IOC。在所謂的APT攻擊和DBIR分析的常見攻擊之間存在差異性，但這種差異正在減小。為了執(zhí)行這種監(jiān)控，企業(yè)可以檢查其系統(tǒng)中是否存在Mandiant在其APT1報告中發(fā)現(xiàn)的IOC，該報告數(shù)據(jù)來自信息共享和分析中心(ISAC)或其他可信機構(gòu)。

通過增加幾種新的監(jiān)控，用戶隱私可能會受到顯著影響，因此，企業(yè)應(yīng)該告知用戶其活動正受到監(jiān)控，并確保采取適當(dāng)?shù)牟襟E來保護用戶隱私。企業(yè)可能不想提供關(guān)于監(jiān)控目標(biāo)的具體細(xì)節(jié)，這樣一來，攻擊者可能需要作出更多努力來確定究竟哪些正受到監(jiān)控。保護收集的用戶數(shù)據(jù)也應(yīng)該是優(yōu)先事項，可能通過向高管報告監(jiān)控工作的進展以及隱私如何受到保護來實現(xiàn)。

總結(jié)

由于攻擊者正在不斷進步，安全事故檢測方法也需要跟上其步伐，雖然事故預(yù)防能力還有所欠缺。企業(yè)可以增加用于事故檢測的資源，并找出檢測和防止未來事故的最有效的控制。很顯然，只是遵守標(biāo)準(zhǔn)合規(guī)要求并不足以保護企業(yè)免受高級攻擊者的威脅。

當(dāng)前文章：企業(yè)如何提高數(shù)據(jù)泄露檢測能力?
標(biāo)題URL：http://fisionsoft.com.cn/article/dppgdhd.html

新聞中心

其他資訊