安全攻防：缩小攻击与防御差距的4个步骤

　　从近期出现的数据泄密新闻中，我们看到由于企业未能抵御安全攻击，使得黑客攻击成功，并窃取了这些企业的重要数据。Target公司失去了客户的信用卡和借记卡数据，Adobe公司损失了其客户的信用卡信息以及ID和密码，易趣公司也泄漏了其客户的个人信息包括电子邮件地址和物理地址。

　　这些数据泄漏事故已经在个人消费者心中造成了不安，并且让泄密的公司因为名誉和品牌的损害造成数百万美元的损失，更不用说缓解和恢复的成本。而我们所知道的安全泄漏事故仅仅只是一小部分，这也是企业不得不披露客户数据被泄露的消息，但一些其内部信息的盗窃我们却无从知道了。

　　只要是有价值个人信息，攻击者都会试图访问，其目标可能是立即使用窃取来的财务数据，或者只是给公司及其客户造成损害。

　　不幸的是，在攻击者和防御企业之间的技术差距正越来越大。在信息安全队伍赶超攻击者之前，我们都将继续看到攻击者横行跋扈。然而，企业是可以采取几个措施来减缓甚至逆转这一趋势的，下面是可以帮助企业的4个步骤。

　　1、一切都开始和结束于教育

　　我们应该在大学水平提高教育和研究，从而提高未来信息安全专业人员的技能，以及培养更多合格的人才进入该工作领域。在这些安全专业人士(对抗恶意攻击的前线)被雇用后，雇主需要投资于其继续教育和培训，以领先于不断变化的安全威胁。只有这些受过教育的个人能够预测下一个漏洞和攻击浪潮，以及在攻击演变成一场危机之前对付它们。

　　2、聪明地消费

　　关键是要充分利用我们有限的安全预算。随着越来越多的关键数据连接到互联网，资金雄厚的网络罪犯也有了越来越多的选择目标。高知名度的公司总是会被攻击，而中小企业现在也正成为目标，因为他们更容易被攻击。虽然回报可能变小，但攻击者有着很高的成功概率和很低的被抓的机率。

　　作为一个行业，我们需要对最有可能的威胁提供所有可用的安全预算。虽然说，所有公司都应该注意APT和DDoS这样的常见攻击，我们面对的最大威胁之一是未受教育的员工。无论是沦为社会工程学受害者的高管还是选择不使用最佳网络配置技术的IT人员，我们经常让自己容易受到可预防的攻击。

　　3、让应用程序开发人员参与进来

　　我们都知道，增强的安全性会阻碍应用程序的可用性，并且由于开发人员的时间和预算限制，安全需求被挤出软件开发过程。在构建计算机应用程序和构建安全的计算机应用程序之间有着巨大的差别。在前期构建安全到应用程序中的成本并不会超过在应用程序构建后再做出调整的成本，或者在漏洞被利用后清理局面。

　　4、获得管理层的支持

　　即使安全专家都意识到了需要做的事情，他们可能难以说服管理层来分配资源来实现其目标。我们需要提高我们的能力，为更好的工具和更好的培训做业务案例。如果你不能说服首席财务官或预算分析师，你可能无法完成你的工作。提高教育的部分在于提高安全专业人士对安全的理论重要性的认识，还有对安全的投资回报率的认识。当你能够明确向管理层展示安全如何可以为企业节省资金，或者甚至保住其工作时，你就能获得预算。

　　在过去一年中发生的数据泄漏事故给企业和个人造成了很大的伤害，但也许他们可以因祸得福。如果这些网络攻击能够作为安全行业和企业的警钟，并推动行业改善教育、预算、工具和方法，那么我们也许能够避免未来更昂贵和更危险的漏洞。如果网络攻击成为国家攻击选择的武器，或者最终损害国家的关键基础设施，丢失的密码和信用卡数据将不值得一提。