毫無疑問,目前資料外洩常常發生,大型企業例如Target、eBay、JP Morgan Chase和Home Depot等公司都出現過非常嚴重的資料外洩事故。根據2014年Verizon PCI DSS 的報告顯示,只有11%的企業沒有遭遇過資料外洩等安全事件。根據資料,JP Morgan的資料外洩是由於一名員工在家中辦公引起的,攻擊者利用VPN連接從而提取資料,而Target則是因為一封釣魚郵件而洩露了超過百萬條信用卡記錄。

攻擊線上業務的方式多種多樣,而黑客可能只選取一種方式來進行網絡攻擊,但是安全和管理專家必須要掌握或考慮到各種各樣的攻擊方式來應對黑客攻擊。這並不僅僅是IT問題,而是管理的問題。Gwen Thomas在其名為Alpha Males and Data Disasters一書中對資料管理描述得非常清楚,她認為資料管理是保護企業安全的基礎。在Alpha Male部分,Thomas提到了一種典型的中層管理方式,強調管理人員在管理資料的過程中要自己來做決定,只有在沒有其他選擇的時候才可以諮詢其他主管或者企業高層。這樣的方式對主管直接管理資料非常有意義,但是也可能會危及企業的安全。

管理和治理之間有什麼分別呢?資料治理是指將企業、規範、決策權、員工責任和系統作為執行資訊決策流程的依據。資料治理有三個任務:1)定義管理規定,2)迅速解決因不遵守規定而引起的問題,3)在保護和服務於資料利益相關者時要遵守規定。

現在回到資料外洩的問題上,以上提到的資料外洩事件中又有多少與資料治理相關呢?答案是有的。基於此,可以看看企業將如何保護企業系統的安全?同時,企業要怎樣做才能停止或減低資料外洩事件的發生?

首先,企業要確保做到100%的合規,包括PCI DSS、FISMA、GLB和SOX規定。第二,訓練使用者的網絡安全技能知識,並提高使用者的網絡安全意識。據Verizon 2012年資料外洩調查報告指出,檢查漏洞最有效的辦法是用戶自己進行內部檢查。第三,企業需要每天進行測試和瀏覽,而不是每週或每年,因為網絡攻擊每時每刻都有可能發生。

對於資料外洩,企業不能坐視不理或者沒有任何改變。在如今是網絡犯罪的新時代,企業需要轉換模式,這也是一個轉捩點。企業不僅僅要有單純的應對措施,還要有長遠的考慮和戰略計畫。

最後,企業還可以參照Gartner 2014年的“自我調整安全架構”(Adaptive Secaurity Architecture)。內容總結如下:

企業網絡安全的主要挑戰

1. 企業現有的阻止和預防能力並不足以對付主動的、高級的網絡攻擊;

2. 大部分企業過度投資於防禦策略;

3. 供應商的檢查和預測能力並沒有得到良好的配合,同時也增加了成本,降低效率;

4. 企業的資訊安全管理不具備檢查較強的攻擊;

5. 企業系統可能會遭受持續的網絡攻擊,而企業僅採取“事件回應”(指安全事件發生時去解決問題,而不是對企業網絡進行持續性的監控和管理)來解決問題是不對的。

處理建議

1. 轉變態度,要從“事件回應”轉變為“持續回應” ,企業內部的系統需要持續的監控和調整;

2. 採取自我調整的安全架構來保護企業從而不受較強的攻擊;

3. 防禦上的投資要少一些,將更多的資本投入到檢測、回應和預測上;

4. 支援供應商提供的電腦和應用安全保護平台,同時配合預測、防禦、檢測和回應的能力;

5. 開發一個安全操作中心,支持持續檢測,並負責持續威脅保護流程;

6. 在IT的所有Layer上,包括網絡資料封包、流量、操作系統活動、內容、使用者行為和應用交易等方面進行全面的、持續的檢測。

如今的網絡犯罪非常專業,而且往往是國家級的,這些網絡犯罪具有良好的經濟支撐而且有周詳計劃。它們通常是對全球範圍的互聯網進行全天候的攻擊,主要目標是智識產權和金融資產。

當然,企業不能僅僅達到合規性。他們還需要主動出擊,其中包括持續的測試、訓練用戶,並關注最新的檢查的方法。

Gartner提示:“如果你的網絡中有惡意程式的話,那麼一定要解決它。”作為企業的安全管理員,時刻檢查企業的網絡中是否有惡意流量,比起解決一個惡意程式更加重要、更加有意義。安全管理人員可以先瞭解企業網絡正常時是怎樣的,然後就可以更加容易地檢查出新的流量或惡意程式。如果企業都開始著手這些事情,並進行全球範圍內的交流和合作,那麼就可以更加有效地解決網絡攻擊和資料外洩等安全問題。由於網絡犯罪往往有周詳計劃,同時它也是一種全球範圍的犯罪活動,所以我們只有積極應對、聯手合作才能有效應對這個問題,保護企業安全。