多年来，企业已经投入大量资源来购买和部署新的安全产品以防止网络攻击，但却没有对数据泄露检测投资太多。与此同时，很多企业不得不将IT特别是信息安全资源专注在满足合规要求上，这也导致企业只有很少的资源来进行数据泄露检测。

数据泄露检测：为什么这么难？

在大型企业检测事故通常很困难，基于这些企业的规模以及所使用的设备数量。定义、搜索和识别未经授权活动，正如俗话所说，就像是大海捞针。而在较小型企业，潜在目标的数量可能少得多，但他们却缺乏人员和资源来进行检测。

为什么企业难以检测日益复杂的数据泄露事故呢？Red October恶意活动就是说明这个问题的很好的例子。作为恶意活动的一部分，攻击者会简单地通过钓鱼攻击来渗透企业，然后利用Java、微软Office等中的漏洞。当成功进入企业后，攻击者会试图获取授权用户的登录凭证，用来掩盖自己的行动。通过使用这些技术，他们能够长期驻留在企业中，窃取敏感信息，同时保持不被发现。对于攻击面扩大和/或预算紧张的企业而言，发现Red October这样的恶意活动可能会非常困难。

另外，很多被第三方检测到的事故本来是可以通过适当部署PCI DSS安全控制来预防，或者通过更密切的监控系统所检测到。IT团队可能只是将重点放在了错误的地方，或者预算和人员限制制约了他们应对复杂事故的能力。虽然与检测扫描网络或系统的互联网主机端口是否被非针对性恶意软件感染相比，检测数据泄露事故更加困难，但企业和安全专家必须记住，这是一个更有价值的任务，也是值得付出努力的工作。

当涉及数据泄露检测时，有很多原因可能造成企业的失败，这意味着并没有万能解决方案来解决这个问题，企业必须部署各种安全控制。

NetFlow数据和完整数据包分析的网络监控可以帮助识别可疑网络连接，以便进一步调查。这种监控可以利用异常检测来发现重要数据被送去调查的新的外部系统。网络监控还可以帮助企业发现数据泄露的其他潜在指标，包括以下内容：恶意无线接入点、未经授权互联网连接、流氓拨号连接、连接到其他企业、第三方服务提供商（包括云服务提供商）、未经授权VPN连接、其他加密连接以及其他可能可疑并需要进行调查的外部连接。还可以监控已知恶意IP地址。

下一个步骤是开始追踪安全事故。对于不同企业而言，对每个事故追踪的深度和具体细节可能有所不同，但利用一个现有事故信息共享框架是一个良好的开端。一旦开始进行数据收集过程，来自并非由内部检测的事故的数据可用于分析为什么它们没有被内部检测到。这可以作为根本原因分析的一部分，以确定哪些安全控制失效以及如何防止漏洞在未来被利用。随着企业改善其事故响应过程，扩展数据收集作为响应的一部分，他们会发现可用于检测和预防这种事故的新控制。

具有严格安全要求的企业应该投入大量资源到专门负责事故响应的个人（或者甚至是团队）。这个人应该专注于事故响应、分析事故数据以及发现可用于预防事故、控制事故影响或缩短事故检测时间的安全控制，而不需要承担其他日常监控责任。对于其他潜在防御方案，企业可以部署类似用于APT攻击检测的战略，这需要仔细监控企业的网络和系统。

通过增加几种新的监控，用户隐私可能会受到显著影响，因此，企业应该告知用户其活动正受到监控，并确保采取适当的步骤来保护用户隐私。企业可能不想提供关于监控目标的具体细节，这样一来，攻击者可能需要作出更多努力来确定究竟哪些正受到监控。保护收集的用户数据也应该是优先事项，可能通过向高管报告监控工作的进展以及隐私如何受到保护来实现。

由于攻击者正在不断进步，安全事故检测方法也需要跟上其步伐，虽然事故预防能力还有所欠缺。企业可以增加用于事故检测的资源，并找出检测和防止未来事故的最有效的控制。很显然，只是遵守标准合规要求并不足以保护企业免受高级攻击者的威胁。