压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　改善企業網絡監控以盡早發現數據泄露

　　當涉及數據泄露檢測時，有很多原因可能造成企業的失敗，這意味著并沒有萬能解決方案來解決這個問題，企業必須部署各種安全控制。

　　作為DBIR的一部分，Verizon推薦使用SANS協會的20個關鍵安全控制，但這份報告還指出，這些是企業應該部署的眾所周知的安全控制。這些SANS控制可以幫助你更有效地利用當前工具來檢測事故。例如，部署配置監控和管理（包括文件完整性檢查）可以幫助檢測出攻擊者在企業網絡內立足所需的偏離行為。系統還可以被設置成類似“只讀文件”的模式，即只寫位置是在網絡設備上；這種配置將有助于使文件完整性檢查更容易地分析數據，因為不會有合法變更日志記錄。另外，檢查在系統上啟動的所有進程，以及調查第一次在系統上運行的可執行文件也可以識別正在進行的攻擊。

　　NetFlow數據和完整數據包分析的網絡監控也可以幫助識別可疑網絡連接，以便進一步調查。這種監控可以利用異常檢測來發現重要數據被送去調查的新的外部系統。網絡監控還可以幫助企業發現數據泄露的其他潛在指標，包括以下內容：惡意無線接入點、未經授權互聯網連接、流氓撥號連接、連接到其他企業、第三方服務提供商（包括云服務提供商）、未經授權VPN連接、其他加密連接以及其他可能可疑并需要進行調查的外部連接。還可以監控已知惡意IP地址。

　　下一個步驟是開始追蹤安全事故。對于不同企業而言，對每個事故追蹤的深度和具體細節可能有所不同，但利用一個現有事故信息共享框架是一個良好的開端。一旦開始進行數據收集過程，來自并非由內部檢測的事故的數據可用于分析為什么它們沒有被內部檢測到。這可以作為根本原因分析的一部分，以確定哪些安全控制失效以及如何防止漏洞在未來被利用。隨著企業改善其事故響應過程，擴展數據收集作為響應的一部分，他們會發現可用于檢測和預防這種事故的新控制。

　　具有嚴格安全要求的企業應該投入大量資源到專門負責事故響應的個人（或者甚至是團隊）。這個人應該專注于事故響應、分析事故數據以及發現可用于預防事故、控制事故影響或縮短事故檢測時間的安全控制，而不需要承擔其他日常監控責任。對于其他潛在防御方案，企業可以部署類似用于APT攻擊檢測的戰略，這需要仔細監控企業的網絡和系統。例如，Verizon在其DBIR數據集中增加了更多間諜活動有關的事事故，部分因為監控IOC下屬團體的有效性，這支持在企業網絡使用IOC。在所謂的APT攻擊和DBIR分析的常見攻擊之間存在差異性，但這種差異正在減小。為了執行這種監控，企業可以檢查其系統中是否存在Mandiant在其APT1報告中發現的IOC，該報告數據來自信息共享和分析中心（ISAC）或其他可信機構。

　　通過增加幾種新的監控，用戶隱私可能會受到顯著影響，因此，企業應該告知用戶其活動正受到監控，并確保采取適當的步驟來保護用戶隱私。企業可能不想提供關于監控目標的具體細節，這樣一來，攻擊者可能需要作出更多努力來確定究竟哪些正受到監控。保護收集的用戶數據也應該是優先事項，可能通過向高管報告監控工作的進展以及隱私如何受到保護來實現。

　　總結

　　由于攻擊者正在不斷進步，安全事故檢測方法也需要跟上其步伐，雖然事故預防能力還有所欠缺。企業可以增加用于事故檢測的資源，并找出檢測和防止未來事故的最有效的控制。很顯然，只是遵守標準合規要求并不足以保護企業免受高級攻擊者的威脅。