可預(yù)防數(shù)據(jù)泄露的10個(gè)步驟

最近關(guān)于大規(guī)模數(shù)據(jù)泄露的報(bào)道，令所有人都感到震驚。客戶(hù)擔(dān)心他們的財(cái)務(wù)和個(gè)人信息遭到劫持。受到威脅的組織擔(dān)心近期和長(zhǎng)期的業(yè)務(wù)影響。其他組織擔(dān)心他們是否會(huì)成為下一個(gè)。但有兩件事是確定的。數(shù)據(jù)泄露的成本將非常昂貴，并且不會(huì)是最后一次發(fā)生。

那么有個(gè)大家都在問(wèn)的一個(gè)大問(wèn)題是，我該怎么做呢？

對(duì)于消費(fèi)者來(lái)說(shuō)，如果您在任何發(fā)生泄露的的零售商（無(wú)論是在線(xiàn)還是親自購(gòu)物）進(jìn)行過(guò)購(gòu)物行為，現(xiàn)在要做的第一件事就是致電您的銀行或發(fā)卡機(jī)構(gòu)并更換您的信用卡。如果您將自己的卡綁定到自動(dòng)支付其他東西，這會(huì)是一個(gè)大麻煩。接下來(lái)要做的就是上網(wǎng)并更改密碼。如果您對(duì)很多不同的帳戶(hù)使用相同的密碼，請(qǐng)立即更改。最后，在主要信用報(bào)告機(jī)構(gòu)開(kāi)始監(jiān)測(cè)您的信息，如果發(fā)生任何不對(duì)勁的地方立即報(bào)告。

除了那些受到個(gè)別影響的人之外，今天在全國(guó)各地的董事會(huì)會(huì)議室被問(wèn)到的問(wèn)題是組織可以做些什么？如何確保這些不會(huì)發(fā)生在他們身上？

許多現(xiàn)有的安全解決方案不足以保護(hù)新的數(shù)字網(wǎng)絡(luò)。為確保您能夠保護(hù)您的組織，您需要建立一個(gè)可以使用的網(wǎng)絡(luò)和安全基準(zhǔn)。這包括三個(gè)關(guān)鍵要素：

1. 進(jìn)行風(fēng)險(xiǎn)評(píng)估

徹底的風(fēng)險(xiǎn)評(píng)估有助于確保保護(hù)和監(jiān)控業(yè)務(wù)當(dāng)中至關(guān)重要的因素。由于許多原因，復(fù)雜的網(wǎng)絡(luò)意味著您可能無(wú)法保護(hù)和監(jiān)控一切。您需要通過(guò)不斷調(diào)整安全措施與業(yè)務(wù)目標(biāo)，將這種評(píng)估集中在對(duì)您的業(yè)務(wù)產(chǎn)生最大影響的風(fēng)險(xiǎn)上。

2. 將您的安全性落實(shí)到您的網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)和設(shè)計(jì)通常始于良好，但隨著時(shí)間的推移，網(wǎng)絡(luò)規(guī)模和復(fù)雜性不斷增長(zhǎng)，要么使得安全解決方案效率下降，要么更復(fù)雜。無(wú)論哪種方式，您最終都會(huì)遇到網(wǎng)絡(luò)盲點(diǎn)，資產(chǎn)保護(hù)不足以滿(mǎn)足您的安全要求，或者更糟糕的是，無(wú)法保護(hù)您的資產(chǎn)。要充分了解自己的優(yōu)勢(shì)和劣勢(shì)，重要的是要識(shí)別這些優(yōu)勢(shì)，進(jìn)行有效的利用與控制。

您還需要評(píng)估關(guān)鍵數(shù)據(jù)的可用攻擊途徑，包括鏈接漏洞。這可能會(huì)幫助您優(yōu)先考慮要解決哪些漏洞。有各種可用于指導(dǎo)您的框架，如ISO、CIS關(guān)鍵安全控制（SANS Top 20）和 NIST網(wǎng)絡(luò)安全框架 。

3. 確定資產(chǎn)

網(wǎng)絡(luò)正在快速增長(zhǎng)，并且越來(lái)越多地跨越各種生態(tài)系統(tǒng)，從虛擬化數(shù)據(jù)中心到多云環(huán)境。結(jié)合連接到網(wǎng)絡(luò)的端點(diǎn)設(shè)備數(shù)量不斷增加以及物聯(lián)網(wǎng)設(shè)備的爆炸性增長(zhǎng)，建立和維護(hù)準(zhǔn)確的設(shè)備清單可能具有挑戰(zhàn)性。復(fù)雜的環(huán)境并不總能為他們不斷變化的基礎(chǔ)設(shè)施提供清晰的集中可見(jiàn)性。

鑒于成功的數(shù)據(jù)泄露量持續(xù)增加，您可能需要投資一些可以通過(guò)網(wǎng)絡(luò)查看的工具來(lái)識(shí)別設(shè)備、操作系統(tǒng)和補(bǔ)丁級(jí)別。在大型環(huán)境中，您還需要將這些信息與良好的威脅情報(bào)聯(lián)系起來(lái)，以便您可以查看并確定最高風(fēng)險(xiǎn)的優(yōu)先級(jí)。

一旦掌握了基準(zhǔn)可見(jiàn)性和控制策略，就需要部署能夠主動(dòng)保護(hù)重要數(shù)據(jù)和資源免遭盜竊和危害的解決方案和策略。以下是每個(gè)組織需要考慮的七個(gè)關(guān)鍵戰(zhàn)略：

1. 實(shí)踐良好的安全保障

我們一直在觀察被攻擊成功的漏洞，這些漏洞在過(guò)去幾年中很容易被獲得。雖然新的攻擊是一個(gè)真正的風(fēng)險(xiǎn)，但大多數(shù)實(shí)際上是由數(shù)周、數(shù)月甚至數(shù)年的攻擊造成的。實(shí)際上，絕大多數(shù)攻擊針對(duì)的是已經(jīng)有補(bǔ)丁可用的漏洞，至少已有三年時(shí)間，其中有的甚至已有十年之久。

每個(gè)組織都必須立即開(kāi)始修補(bǔ)每個(gè)盤(pán)存的設(shè)備，然后建立正式的修補(bǔ)和更新協(xié)議。接下來(lái)，在確保您所控制的設(shè)備已打補(bǔ)丁之后，您需要確保那些您不能控制的設(shè)備被正確分割、隔離或拒絕訪(fǎng)問(wèn)。您還需要確定并替換或刪除那些無(wú)法修補(bǔ)或保護(hù)的系統(tǒng)。理想情況下，整個(gè)過(guò)程需要自動(dòng)化、跟蹤和測(cè)量。

2. 將本地和全球威脅情報(bào)與SIEM解決方案相結(jié)合

高級(jí) 威脅情報(bào) 使組織能夠縮短檢測(cè)威脅的時(shí)間，縮小檢測(cè)與響應(yīng)之間的差距。這是通過(guò)利用已經(jīng)在您的網(wǎng)絡(luò)中收集的威脅情報(bào)開(kāi)始的，這也需要旨在共享和關(guān)聯(lián)信息并采取協(xié)調(diào)行動(dòng)的安全工具。

僅靠地方情報(bào)是不夠的。您還需要威脅源，以便及時(shí)了解全球最新的威脅趨勢(shì)和漏洞利用情況。將這些數(shù)據(jù)轉(zhuǎn)換為可與本地智能和基礎(chǔ)設(shè)施交互關(guān)聯(lián)的可操作智能可能需要 安全信息事件管理 （ SIEM ）和 Web應(yīng)用防火墻 （WAF）技術(shù)，這些技術(shù)可以使用數(shù)據(jù)，將其轉(zhuǎn)換為可操作的策略，甚至自動(dòng)將其應(yīng)用于保護(hù)您的網(wǎng)絡(luò)。

當(dāng)然，分布式、高度彈性的網(wǎng)絡(luò)也在不斷變化。SIEM工具允許您匯總來(lái)自整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)，將其與本地和全球威脅情報(bào)源相關(guān)聯(lián)，然后提供即時(shí)詳細(xì)信息，如妥協(xié)指標(biāo)和違反安全策略的指標(biāo)。

3. 部署基于簽名的安全工具

因?yàn)榇蠖鄶?shù)被利用的漏洞都是已知的，所以針對(duì)這些漏洞的攻擊可以通過(guò)簽名來(lái)檢測(cè)。基于特征碼的檢測(cè)工具可以讓您快速查找，并阻止任何嘗試的滲透，或執(zhí)行針對(duì)已知漏洞的漏洞利用。

基于簽名的工具在復(fù)雜的環(huán)境中也很有效，例如物聯(lián)網(wǎng)和其他無(wú)法更新的互連設(shè)備越來(lái)越多地被組織采用的零補(bǔ)丁網(wǎng)絡(luò)部分，盡管它們已被證明極易受到攻擊。

4. 添加基于行為的分析和數(shù)據(jù)消毒

并非所有威脅都有可識(shí)別的簽名。復(fù)雜的攻擊可以規(guī)避保護(hù)并逃避檢測(cè)。這意味著您還需要 高級(jí)威脅 防護(hù)工具，如可動(dòng)態(tài)跟蹤的沙箱、反匯編和識(shí)別 0Day 惡意軟件 變種，并將該數(shù)據(jù)與其他安全基礎(chǔ)架構(gòu)相關(guān)聯(lián)。 用戶(hù)實(shí)體行為分析UEBA 工具還可以更輕松地識(shí)別內(nèi)部安全威脅并找到單個(gè)犯罪者。

說(shuō)起來(lái)容易做起來(lái)難。攻擊者還使用先進(jìn)的技術(shù)，如學(xué)習(xí)和模仿合法的流量模式，以逃避檢測(cè)。安全工具不僅需要檢查和檢查數(shù)據(jù)和應(yīng)用程序，以尋找低掛惡意軟件，而且還要提供深入檢查和分析，以便隨時(shí)間查找和關(guān)聯(lián)模式，以檢測(cè)并確定惡意目的。在可能的情況下，智能安全系統(tǒng)需要能夠主動(dòng)自動(dòng)進(jìn)行干預(yù)，以便在攻擊開(kāi)始之前阻止攻擊。

一種新的趨勢(shì)是用于數(shù)據(jù)清理的內(nèi)容撤防和重建（CDR）工具。CDR處理傳入文件，解構(gòu)它們，并刪除活動(dòng)內(nèi)容。此方法通過(guò)主動(dòng)從特定文件中刪除惡意內(nèi)容來(lái)強(qiáng)化零日文件保護(hù)策略，從而防止意外加載連接的惡意軟件和惡意可執(zhí)行文件。

5. 使用Web應(yīng)用程序防火墻關(guān)閉基于Web的攻擊向量

許多威脅不再通過(guò)傳統(tǒng)途徑進(jìn)入網(wǎng)絡(luò)。基于Web的攻擊利用應(yīng)用程序的指數(shù)級(jí)增長(zhǎng)，特別是那些旨在直接在數(shù)據(jù)中心查詢(xún)和挖掘信息的應(yīng)用程序。

由于對(duì)自主開(kāi)發(fā)和定制的Web應(yīng)用程序的需求增長(zhǎng)如此之快，許多組織根本沒(méi)有時(shí)間或資源在部署前充分測(cè)試和加固它們?？s小差距的一個(gè)有效方法是實(shí)施WAF。這些安全設(shè)備專(zhuān)用于提供深度高性能檢測(cè)，這遠(yuǎn)遠(yuǎn)超出傳統(tǒng)NGFW技術(shù)所進(jìn)行的Web應(yīng)用程序流量檢測(cè)。

6. 更換您的孤立點(diǎn)解決方案

由于網(wǎng)絡(luò)不斷變化，在網(wǎng)絡(luò)或數(shù)據(jù)中心邊緣部署安全安全設(shè)備或平臺(tái)的傳統(tǒng)已不再適用。大多數(shù)這些傳統(tǒng)的點(diǎn)安全技術(shù)也傾向于孤立運(yùn)行，這意味著他們只能看到和響應(yīng)當(dāng)前的威脅。

但考慮到今天的多向量和智能威脅的性質(zhì)，安全解決方案需要互連成一個(gè)可以跨越并適應(yīng)彈性網(wǎng)絡(luò)架構(gòu)的單一、緊密結(jié)合的系統(tǒng)。動(dòng)態(tài)集成和關(guān)聯(lián)提供了整個(gè)網(wǎng)絡(luò)的實(shí)時(shí)可視性，這是至關(guān)重要的，因?yàn)槟鸁o(wú)法防御您看不到的威脅。此外，一個(gè)集成的、協(xié)調(diào)的安全解決方案系統(tǒng)使組織能夠主動(dòng)和智能地將網(wǎng)絡(luò)攻擊作為一個(gè)協(xié)調(diào)系統(tǒng)進(jìn)行攻擊，無(wú)論這些威脅發(fā)生在哪里。

首先查找旨在使用諸如開(kāi)放式API，通用操作系統(tǒng)或統(tǒng)一管理工具等分享智能的工具。安全結(jié)構(gòu)體系結(jié)構(gòu)還將傳統(tǒng)上孤立的安全工具互連起來(lái)，使他們能夠共享和關(guān)聯(lián)信息。他們還提供集中協(xié)調(diào)，單一玻璃管理，一致的策略分配以及對(duì)攻擊的自動(dòng)協(xié)調(diào)響應(yīng)。它還可以動(dòng)態(tài)強(qiáng)化安全和訪(fǎng)問(wèn)點(diǎn)，隔離受影響的設(shè)備和惡意軟件，識(shí)別易受攻擊或受到危害的系統(tǒng)，并啟動(dòng)取證分析和修復(fù)。

7. 對(duì)您的網(wǎng)絡(luò)進(jìn)行分段

鑒于網(wǎng)絡(luò)化生態(tài)系統(tǒng)的流動(dòng)性以及跨越多個(gè)網(wǎng)絡(luò)的廣泛應(yīng)用和數(shù)據(jù)流，建立并維護(hù)有效和安全的網(wǎng)絡(luò)分段比以往任何時(shí)候都更加重要，以此防止威脅在網(wǎng)絡(luò)中水平分布。通過(guò)部署內(nèi)部網(wǎng)絡(luò)分段防火墻并建立宏觀和微觀分割策略來(lái)防止威脅擴(kuò)散，組織可以顯著提高安全性。我們的目標(biāo)是在網(wǎng)絡(luò)外部深處創(chuàng)建一致的策略和執(zhí)行，以管理和保護(hù)數(shù)據(jù)和應(yīng)用程序的橫向移動(dòng)。

在單個(gè)環(huán)境中收集和關(guān)聯(lián)大量數(shù)據(jù)或互連跨越多個(gè)網(wǎng)絡(luò)環(huán)境的情況下，建立分割控制尤為重要，這樣的分割控制有利于檢測(cè)能夠穿透一個(gè)網(wǎng)段的周邊的威脅并且 橫向移動(dòng)攻擊 的情況。如果沒(méi)有分割和檢測(cè)工具，這些威脅可以自由收集，破壞和泄露數(shù)據(jù)。

盡管當(dāng)今數(shù)據(jù)泄露的規(guī)模和頻率令人擔(dān)憂(yōu)，但攻擊組織所遭受的并不是獨(dú)一無(wú)二的。具有高度靈活性和適應(yīng)性的網(wǎng)絡(luò)環(huán)境的太多組織，仍然依靠孤立的第二代安全解決方案和策略來(lái)保護(hù)它們。然而，今天的安全無(wú)比重要。它需要將規(guī)劃、人員和流程與適應(yīng)性安全技術(shù)相結(jié)合，旨在動(dòng)態(tài)擴(kuò)展到當(dāng)今的數(shù)字網(wǎng)絡(luò)，在整個(gè)分布式網(wǎng)絡(luò)中查看和協(xié)調(diào)，并作為單一的主動(dòng)防御系統(tǒng)自動(dòng)響應(yīng)，以解決針對(duì)它們的高級(jí)網(wǎng)絡(luò)威脅。