根據開放安全基金會表示，迄今為止最嚴重的10起安全泄露事故中，3起事故發生在今年。這包括NYC Taxi & Limousine Commission的 1.73億條記錄泄露事故，易趣的1.45億條記錄泄露事故以及韓國信用局的1.04億條記錄泄露事故。而這還沒有算上據稱俄羅斯黑客竊取的12億用戶名和密碼，或者最近從韓國游戲網站發現被盜的2.2億條記錄。

根據開放安全基金會和Risk Based Security公司表示，2014年正在取代2013年成為泄露數據量最高的一年。

如果我們能夠從錯誤中吸取教訓，那么今年應該會成為安全教育標志性的一年。

下面是一些經驗教訓：

1. 是時候認真考慮人員配備問題

在信息安全最大的安全漏洞可能根本不是技術方面的問題。

“在2014年，大約40%的安全職位為空置，”惠普企業安全產品首席技術官Jacob West表示，“并且，當你看看高級安全職位，空置率達到近49%。無論我們使用什么樣的技術，無論我們如何努力保護系統，如果我們的隊伍人手不夠，我們將會看到我們的對手取得成功。”

West引用的數據來自于今年春天由惠普贊助Ponemon研究所發布的研究報告，其中顯示，70%的受訪者表示其安全部門人員不足。主要的原因是什么?根據43%的受訪者表示，原因在于企業未提供有競爭力的薪酬。

根據5月份由IBM贊助的另一個Ponemon研究顯示，數據泄露事故的平均總成本上升了15%，達到350萬美元，而包含敏感信息和機密信息的每條丟失或被盜記錄的平均成本增長超過9%，從2013年的136美元增長到今年的145美元。對此，企業可能要重新考慮其安全人員預算了。

2.了解你的代碼

在過去10年中，很多企業都采用了軟件安全最佳做法，在基礎層面構建安全性。

.然而，這僅僅是對于他們自己編寫的代碼。

“今年暴露出的問題之一是，企業并沒有自己編寫大部分軟件，Shellshock和Heartbleed等漏洞更是說明了這一點，”惠普的West表示，“軟件其實是拼裝的，而不是編寫的。我們拿來商業組件和開源組件，然后在上面構建一些專有性。”

這樣做的結果是，有些企業花了幾個星期，甚至幾個月，試圖整理其系統，以及弄清楚他們在哪里使用了易受攻擊版本的SSL。

企業需要先徹底了解他們正在使用什么應用程序，他們在哪里以及如何使用這些程序，以及其相對重要性。自動掃描系統在這方面可能有所幫助，但最終，這還是需要人的努力。

3.滲透測試是謊言

滲透測試是安全審計的組成部分。事實上，支付卡行業數據安全標準中有這一要求。

滲透測試公司Rook Security首席執行官J.J.Thompson表示：“遭受過數據泄露事故的每個公司都有滲透測試報告稱攻擊者無法獲取數據，或者，如果他們可以得到，但并不重要的數據。”

那么，為什么滲透測試不能暴露潛在安全漏洞，讓公司能夠解決這些問題呢?

“這很簡單，”Thompson表示，“滲透測試報告一般都是謊言。”

或者換句話說，與真正的攻擊者相比，滲透測試人員能做的和不能做的更加有限制。

“你無法冒充別人，因為這并不是我們的測試方式，”Thompson表示，“你無法建立一個與Facebook個人資料相關的釣魚網站，因為這太離譜。”

真正的攻擊者因為入侵一家公司，已經觸犯了法律，他們可能并不擔心觸犯其他法律。而白帽安全公司則不太愿意通過跟蹤其客戶或供應商系統而入侵一家公司。或者冒充政府官員，或損壞設備，或劫持企業員工的朋友或家庭成員的社交媒體賬號來入侵公司。#p#

4.物理安全遇見網絡安全

最近攻擊團伙瞄準了美國東海岸的一家公司(+微信關注網絡世界)，他們繞過防火墻，提取其領導層的數據，并獲取即將舉行的活動的信息，以及這些活動將要使用的設施。

John Cohen表示：“當局認為，這是該組織前期規劃工作的一部分。”他此前是美國國土安全局的反恐協調員兼情報和分析代理副秘書，現在是安全供應商Encryptics公司首席戰略顧問。

Cohen稱：“這里同時涉及了物理安全和網絡安全。”

這也可以反過來進行，通過攻擊設備物理地入侵來進行數字盜竊

企業安全必須更加全面。闖入辦公現場的盜賊可能一直在尋找易于突破的電子設備，或者他們可以部署鍵盤記錄器。

5. 做好失敗計劃，第一部分

如果你肯定地知道攻擊者將要入侵你的系統，你的做法會有什么不同?

在今年的高曝光率數據泄露事故后，很多人都在問自己這個問題，并開始以不同的角度思考安全問題。

“在我看來，以及其他人看來，這是心態的轉變，”CompTIA的IT安全社區主席兼Reflexion Networks公司產品管理副總裁Scott Barlow，“企業都假設他們的數據將被泄露，或者已經被泄露，并且他們正在采取措施。”

這些步驟包括對員工桌面的數據、文件服務器內的數據甚至電子郵件進行加密。

同時，名為“標記化”的程序取代了包含隨機生成代碼或令牌的銀行卡數字，在這些數字離開POS機之前。只有付款處理器知道真正的數字，零售商獲得令牌，而這對于入侵系統的攻擊者毫無價值。

而這讓支付處理器成為目標，但事實上，它們一直都是攻擊目標。

FirstDat公司網絡安全解決方案總經理兼高級副總裁Paul Kleinschnitz表示：“攻擊者已經瞄上我們。”該公司負責美國40%的支付處理。

與此同時，Target和Home Depots將不會再面臨失去支付數據的風險。

Kleinschnitz表示：“我們正在幫助商家減小這種風險。”

6. 做好失敗計劃，第二部分

如果摩根大通能夠被攻擊，那么，每個公司都容易受到攻擊。

Weisbrod Matteis & Copley 律師事務所計算機犯罪專業律師Peter Toren表示：“即使你部署了最好的安全措施，你仍然可能被攻擊。”Toren曾在司法部計算機犯罪部門擔任了8年的聯邦檢察官。

企業如何應對這種數據泄露事故可以帶來很大的不同。

在去年年底，Target公司遭受重大數據[注]泄露事故，導致4000萬支付卡賬戶泄露，因為在處理這個事故時所面臨的問題，該公司的首席執行官和首席技術官都失去了他們的工作。

企業需要提前做好應對泄露事故的準備工作，并早在泄露事故發生之前做好準備工作。

“他們需要有一個計劃，并提前與公關公司進行合作，”他表示，“而不是在事故后才聯系公關公司。”(鄒錚編譯)