黑客攻击仿佛总是快人一步，我们能做的，只能是走在黑客的前面，将黑客攻击拒之门外。那么如何提防这些不速之客的造访？作为企业的首席安全官或首席信息安全官们，又该做些什么来防止数据泄露呢？安全牛本期《安全讲堂》为你带来“防止数据泄露的6个关键认识”。

一、要假设你已经被攻破

恶意软件是无法被阻止的，因为恶意软件的演变非常迅速。据熊猫实验室报告，2013年共发现3000万个新的恶意软件威胁，平均每天就有2000个之多。另据火眼公司的报告，82%的恶意软件在激活后一小时就告消失。所以安全专家们必须要接受网络终将被攻破的事实，专注于如何消除已经侵入的黑客，别到时候悔之晚矣。

二、学习用户的典型行为

网络犯罪已转向通过获取认证和模拟用户的方法窃取大量数据，这种技术允许他们长驻内存。据火眼旗下的公司Mandiant的调查，每一次的数据泄露都100%地使用了认证获取技术。最近，威瑞森（Verizon）2104数据泄露报告称，2013年76%的网络入侵都包含认证获取。让系统学习员工的行为方式，随着时间的推移，系统就可以理解正常的认证员工活动，辩认非正常活动。这也是安全团队识别隐形攻击的唯一方法。

三、量化可疑活动的风险

第一眼看到一个来自伦敦通过VPN登录进来的销售副总裁仿佛没什么不对劲，可当你围绕整个用户进程仔细检查它的特点及一系列操作后或许就不是那么回事了。要更好的断定与该进程关联的风险，从安全解决方案的角度应该围绕该进程进行发生时间和活动情况分析，比如，从该位置登录的频次，是否有销售部门其他成员也表现出类似行为等。通过量化每个潜在可疑活动的附加风险，安全分析人士将能更好地识别潜在数据泄露的真正风险，挖掘用户行为智能。

四、消除假阳性警报中的白噪声

假阳性安全警报的概念是随着首个入侵检测系统进入市场的。因为对这些工具固有的、有时也是合理的怀疑，导致安全团队有时会反应迟钝。这些工具中的安全信息和事件管理系统（SIEM）发出大量且缺乏足够优先级的的警报，让人很难从这种可能被视为“噪音”的警报中发现真正异常的安全事件。因此类似2013年塔吉特数据泄露这样的事件，将毫无疑问地会再次发生。安全团队需要借助优先级，才可以花时间分析出对公司最宝贵数据存在潜在风险的警报。

五、消除人为错误

据波耐蒙研究所和赛门铁克2013年发布的一份报告显示，2012年因人为错误导致的数据泄露超过三分之二。自动安全监测系统可以帮助企业检测他们的组织是否缺乏系统控制和数据治理。

六、培训员工保护好他们的用户凭证

如果缺乏意识，任何一名员工都可能给公司的数据安全带来风险。虽然系统被黑是不可避免的，但公司员工仍然应该知道，钓鱼计划攻击是什么样子，以及它们是如何伪装成可能的各种样子，让人将用户名和密码交给潜在攻击者的。这将有助于消除攻击的频次，加大攻击者窃取用户凭证的难度，防止大规模的数据泄露。

－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！