企業如何提高數據泄露檢測能力?(一)
責編:admin |2015-02-09 18:00:58多年來,企業已經投入大量資源來購買和部署新的安全產品以防止網絡攻擊,但卻沒有對數據泄露檢測投資太多。與此同時,很多企業不得不將IT特別是信息安全資源專注在滿足合規要求上,這也導致企業只有很少的資源來進行數據泄露檢測。
我們在2013年Verizon數據泄露事故調查報告(DBIR)中看到了企業對數據泄露檢測(重要的信息安全功能)的長期疏忽帶來的結果,這份報告指出,幾乎70%的數據泄露事故都是由第三方檢測出的,而不是受害企業。
這個統計數據似乎很糟糕,但更糟糕的是,Verizon還發現,在內部檢測的數據泄露中,通常是由普通用戶發現,而不是IT專家或安全專家。這表明,在企業為事故檢測部署的人員、流程和技術方面肯定存在廣泛的問題。
本文中,我們將討論企業沒有及時檢測數據泄露事故的最主要的原因,以及企業如何提高其數據泄露檢測能力。
數據泄露檢測:為什么這么難?
在大型企業檢測事故通常很困難,基于這些企業的規模以及所使用的設備數量。定義、搜索和識別未經授權活動,正如俗話所說,就像是大海撈針。而在較小型企業,潛在目標的數量可能少得多,但他們卻缺乏人員和資源來進行檢測。
為什么企業難以檢測日益復雜的數據泄露事故呢?Red October惡意活動就是說明這個問題的很好的例子。作為惡意活動的一部分,攻擊者會簡單地通過釣魚攻擊來滲透企業,然后利用Java、微軟Office等中的漏洞。當成功進入企業后,攻擊者會試圖獲取授權用戶的登錄憑證,用來掩蓋自己的行動。通過使用這些技術,他們能夠長期駐留在企業中,竊取敏感信息,同時保持不被發現。對于攻擊面擴大和/或預算緊張的企業而言,發現Red October這樣的惡意活動可能會非常困難。
另外,請記住,在Verizon DBIR中,很多被第三方檢測到的事故本來是可以通過適當部署PCI DSS安全控制來預防,或者通過更密切的監控系統所檢測到的。