大数据如何阻止数据泄露

安全威胁正在不断升级，应对这些安全威胁需要企业信息安全专业人员及其观念也要“升级”。

我们都知道阻止不良行为者进入你的网络并不难，我们也都同意，应该对不同的用户群分配不同的权限级别。同时，我们也都认为，某些系统包含比其他系统更有价值的数据。那么，为什么我们似乎都不能完成这些事情呢?

[[139190]]

事实证明，虽然安全概念很容易，但具体部署并不容易，看看最近接连发生的安全泄露事故就知道。索尼、家得宝、Target、Skype和Neiman Marcus等公司都遭到攻击，医疗保险公司Anthem和Premera也一样。

数据泄露事故的成本

这些攻击给企业带来严重影响，这些企业的品牌和声誉受到影响，消费者的身份和财务数据的隐私性及安全性也遭到破坏。而这些都会让受影响企业遭受严重的财务损失，有些企业可能甚至面临破产。

零售及金融服务行业并不是唯一面临风险的行业。在过去的20年中，网络攻击已经演变成更先进和更具破坏性的攻击，有时候还会瞄准关键基础设施。例如，针对伊朗核计划的攻击让我们注意到，网络不仅受到先进黑客团体的攻击，也受到民族国家的攻击。即使是表面无法从外部访问的系统也可能受到攻击。面对这个问题，我们不禁会想，IT专业人士发展最快的专业是不是网络安全?

安全公司IronNet Cybersecurity调查称，2014年世界各地的公司花费约3640亿美元来应对安全泄露事故。这是一个令人惊讶的数字，而且这个数字每年都在增长。

安全泄露事故未被检测

美国联邦调查局前局长Robert Mueller在谈到当前安全状态时称，“只有两种类型的公司：已经遭受攻击的公司，即将遭受攻击的公司。”笔者将后面一部分改为：“已经遭受攻击的公司，以及还不知道他们已经遭受攻击的公司，”因为大多数公司没有足够的安全监控基础设施。

例如最近遭受攻击的医疗保险服务提供商CareFirst公司，安全公司Mandiant在帮助该公司保护其系统时发现了这个攻击。人们不禁要问，还有多少保险公司和医疗机构不知道他们的安全状况。

根据2015年Mandiant M-Trends报告显示，在系统遭受攻击后，攻击者在系统中保持不被发现的时间是205天。更糟糕的是，69%的数据泄露事故是由外部实体发现。也就是说，这些公司本身并没有发现自己已经遭受攻击。显然，检测是一个挑战。

需要真正的网络安全领导

直到最近我们才发现这个问题的部分原因，在大多数企业的决策者根本没有意识到他们所面临的真正威胁。对于他们来说，网络安全只是审计报告中的各种复选框，是的，我们有防火墙，是的，我们运行着杀毒软件，然后就没有然后了。多年来，“设置后就忘记”是很多企业的做法，而且现在才开始改变。首席信息安全官的职位已经开始普及，这个职位通常拥有与IT运营的CIO[注]相同的运营监督和权威。这种变化正在改变企业处理信息安全的方式。

防火墙和隔离的DMZ已经不再够用，杀毒软件或其他传统保护技术也不再可行。因为，尽管这些标准做法和基本的监控在过去可行，但现在攻击者会长期潜伏在系统中，窃取敏感数据。不仅检测是挑战，防御也是挑战。

如何防止数据泄露事故

现在很多攻击都是通过社会工程来执行，例如让用户点击电子邮件中的恶意链接，对此，培训成为防御战略的重要部分。而我们在这里列出的大多数攻击都使用有效登录凭证来执行攻击，攻击者未被发现是因为他们在基于角色的访问控制(RBAC)系统的范围内进行操作。如果我们固守旧观念，认为网络内的威胁没有外部威胁那么严重，那么我们就已经输了。威胁可能主要来自外部，但在现在的环境中，攻击者并不会破门而入。

现在处理网络安全的最好方法之一是获得对网络的可视性。如果你只是监控选择的流量或服务器，或者检查系统记录数据，这是远远不够的。我们需要让网络可以监控几乎一切信息，如果你不能看到所有信息，你就无法作出反应。

更高和更实惠的带宽、更好的交换架构、更强的计算能力、更快和更大的存储，让企业的监控工作变得比以往任何时候都更加艰巨。但是现在并不是不可能对网络中的所有流量进行捕捉和实时分析，以及存储用于未来分析。当然，你也不可能永远保存所有这些信息，除非你有无线的政府资助，不过，大部分大型企业还是可以存储一定的时间。

实时大数据[注]安全分析是高级威胁防御战略的另一个重要组成部分。按网络速度捕捉数据是一回事，但如果你依靠人眼来发现威胁和应对，这将无济于事。而这正是大数据分析的用武之地，大数据分析可以分析非结构化数据，获取你可能甚至不知道的信息。这也是信息安全历史的第一次，我们可以进行启发式安全威胁分析。

当然，我们仍然需要强大的报告引擎和人类监督，不过，企业应该将先进的分析工具作为第一道防线。威胁还会继续发展，攻击者还会找到新的攻击途径，这意味着，我们也必须迅速发展。