最近，有件事情讓我感到無比興奮，這就是終于搞到了一份萬眾矚目的Verizon2013年數據泄漏調查報告(DBIR)。實際上，我早就發現這份按年發布的報告非常有價值。今年已經是該報告發布的第6個版本了，其中涉及到的具體內容包括了621起獲得證實的數據泄露事故以及超過47000起提交報告的安全事件。為了完成今年的報告，全球范圍內的18家機構付出了巨大努力。盡管這份報告長達63頁，但基本內容依然非常適于閱讀;這讓我不得不承認，韋德·貝克以及該公司確實完成了一項非常出色的工作。由于我非常喜歡該報告采用的基調，結果導致在進行閱讀時多次笑出聲來(通常情況下，笑聲與信息安全是不會在同一時刻出現的)。這份報告引用了大量非常出色的內容，從美國全國汽車比賽協會到傳奇嘻哈說唱歌手大個小子以及另類搖滾樂隊暴力妖姬等等不一而足。今年，該報告中給出的最新準則就是：“認清敵人'才是實現有效防御與處理的關鍵所在。”對此，我有幾點個人看法：

公司需要將關注重點放在對手是如何答復客戶提出的問題上。說起來，對手究竟會是誰呢?畢竟，對于弗里斯特調查公司的客戶來說，這就屬于一個經常會遇到的問題。不久之前，曼迪安特公司發布的高級持續性威脅一號(APT1)報告就激起了公眾針對國家贊助攻擊者這一問題的大量爭論;現在，Verizon的數據與分析則給了大家深入觀察這類威脅制造者的更多不同角度。實際上，該報告在第一張圖表中就列出了威脅制造者以及相關組織的概況。由于它采用的是基于總體的鳥瞰視角，因此我個人建議公司就應當將執行層的所有相關人員都召集進來。實際上，由于這種針對威脅制造者進行概要分析是由第三方開展的，往往就可以讓很多讀者都產生出深刻的共鳴來。

此外，該報告還打破了目前相當普遍的一種錯誤認識。這就是：“本公司的規模實在是太小了，不至于成為攻擊者關注的目標”。在報告中，Verizon是這么寫的：“我們發現，從巨型跨國公司到甚至連IT技術方面專門人員都沒有的微型企業中都出現過受害者的身影”。從文章下面給出的圖表中，大家可以發現很多員工總數小于1000甚至100的公司都成為了間諜攻擊的受害者。該圖表還顯示出工業間諜所攻擊目標的主要類型。具體來說，制造業、交通運輸業以及信息業都已經成為有針對性專業間諜活動的重災區。如果對垂直行業的相關情況感興趣，也可以利用北美產業分類體系(NAICS)來進行詳細查詢。

在防范網絡釣魚攻擊方面，我們所做的工作實際上非常糟糕。在報告中，Verizon是這么總結的：“在所有攻擊中，有超過95%的都屬于和國家贊助間諜活動相關的情況;而為了在受害者系統中建立起立足點來，網絡釣魚就成為了一種非常有效的攻擊手段”。目前，針對網絡釣魚類威脅的防范，傳統電子郵件以及網絡安全廠商的實際表現非常差勁。由于現有廠商無法解決當前面臨的威脅，這就給火眼之類新興公司的進入以及消滅威脅的嘗試創造出極佳機會來。當然，我們也已經看到，傳統安全廠商正致力于開發并部署類似火眼的自有項目了。不過，這些解決方案并沒有包含新技術;毫無疑問，Verizon提供的數據資料中就包括有幾家已經部署過上述“反高級持續性威脅”解決方案的受害者。

此外，針對網絡釣魚攻擊在間諜活動中泛濫的現實情況，火眼也在最新發布的威脅報告中作出了證實。該公司發現，在APT攻擊中，網絡釣魚已經成為使用的最主要手段。僅在2012年第1季度，這項數字就上升了56%　。

在明年的報告中，我想看到哪些方面的新內容。就個人而言，我希望能夠看到Verizon擺脫由第三方提供違規行為以及事故的做法。除了使用自有的攻擊參與者定義以外，我尤其希望看到利用第三方網絡的外部威脅制造者對于公司造成損失情況的具體數據。舉例來說，我非常想知道，公司因為將外聯網連接提供給供應鏈合作伙伴，結果遭到侵入而蒙受損失的情況到底有多少。畢竟，對于弗里斯特調查公司的廣大客戶來說，風險中涉及到第三方的情況就屬于最受關注的問題。

這究竟意味著什么。如果貴公司屬于間諜活動的潛在目標，反網絡釣魚就應當成為安全投資方面的一個關鍵項目。我強烈建議，公司在作出購買任何新解決方案的決定之前，都應該利用滲透測試公司提供的專業服務來對現有環境進行網絡釣魚方面的針對性測試。當然，這項工作也可以由一支內部人員組成的特別分隊來完成。這里的最終目標就是了解，內部網絡中是否已經存在有利用已知以及未知漏洞進行攻擊的武器化惡意軟件。換句話說，公司在部署新安全控制措施之前，就需要對現有產品進行驗證。而對于正在進行評估的產品，公司應該利用第三方來進行現場測試。實際上，曼迪安特的APT1報告以及DFIR中的各項數據就有助于對這些服務的實際價值進行確認。相形之下，這些服務涉及到的費用僅僅只有公司購買新安全控制措施價格的毫微，卻能夠為實現最有效保護措施提供極大幫助。畢竟，沒有公司希望遇到，因為部署的解決方案沒有達到事前要求，而不得不直接淘汰掉更換新品這樣的尷尬境地。

公司一旦掌握了內部存在對于新技術的實際需求，就可以采取文章下面列出來的幾種反網絡釣魚措施：

1)網絡安全性。在采購基于網絡的新解決方案之前，公司應該與現有安全供應商進行溝通，詢問他們在應對這種威脅時會采取的實際措施。畢竟，最佳解決方案還是僅僅在現有安全組合中加入一項新功能就達到防范的目標。但如果現有供應商更關注改進版反惡意軟件與高級持續性威脅功能的推銷，公司就應當斷然表示拒絕，并指出不會再為已經沒有實際效果的傳統模式以及新能力同時付費。畢竟，可擴展性、全局部署以及SSL檢驗會讓這類控件的使用變得非常復雜。現今，幾乎所有的網絡安全供應商都非常重視該領域的客戶。

2)網絡可見度。此外，公司還應該在現有環境中部署一套網絡分析與可見度(NAV)解決方案。這樣的話，如果意料之中的預防性控制措施失效出現時，就能夠啟用依然可靠的檢測控制。實際上，對于交付、指揮與控制之類項目，這些解決方案能夠與滲出一樣進行全面檢測。至于供應商能夠提供的解決方案，則包括有：Damballa、索萊拉網絡、RSA的Netwitness以及Lancope的Stealthwatch。

3)終端安全。為了確保網絡足夠安全，公司不應當單單依靠基于已知惡意代碼檢測模式的控件。除此之外，公司還需要部署利用主機來對惡意代碼進行檢測的新型終端解決方案。這些類型的解決方案包括有：RSA的惡意軟件情報計劃ECAT、SourceFire的云安全解決方案FireAMP、Trusteer的網絡犯罪防范解決方案以及Bit9的企業級白名單解決方案。還有其它兩種選擇就是，利用虛擬化模式來為終端提供保護的Bromium與Invincea。當然，對于采用異構環境的巨型公司來說，終端安全解決方案的全面部署就屬于一項非常大的挑戰;因此，正確的做法就是從小處入手慢慢進行擴展，依靠全系統的運營過程達到將解決方案逐步普及的目標。此時，公司就應當選擇從高價值團隊(上層管理人員以及網絡管理人員)之處開始入手。

請務必牢記，首先要完成的工作就是對現有安全體系進行全面審核，然后才是根據實際需求情況添加必要的額外控件。而在部署任何安全控件時，都應當采取數據集中模式，確保它們能夠獲得有效的直接控制，而不至于出現僅僅只是處在邊角位置的錯誤狀態。一定不要忘記，控件是有可能失效的;因此，公司必須建立起一支功能全面的事件響應團隊來。