多年来，企业已经投入大量资源来购买和部署新的安全产品以防止网络攻击，但却没有对数据泄露检测投资太多。与此同时，很多企业不得不将IT特别是信息安全资源专注在满足合规要求上，这也导致企业只有很少的资源来进行数据泄露检测。

我们在2013年Verizon数据泄露事故调查报告（DBIR）中看到了企业对数据泄露检测（重要的信息安全功能）的长期疏忽带来的结果，这份报告指出，几乎70%的数据泄露事故都是由第三方检测出的，而不是受害企业。

这个统计数据似乎很糟糕，但更糟糕的是，Verizon还发现，在内部检测的数据泄露中，通常是由普通用户发现，而不是IT专家或安全专家。这表明，在企业为事故检测部署的人员、流程和技术方面肯定存在广泛的问题。

本文中，我们将讨论企业没有及时检测数据泄露事故的最主要的原因，以及企业如何提高其数据泄露检测能力。

数据泄露检测：为什么这么难？

在大型企业检测事故通常很困难，基于这些企业的规模以及所使用的设备数量。定义、搜索和识别未经授权活动，正如俗话所说，就像是大海捞针。而在较小型企业，潜在目标的数量可能少得多，但他们却缺乏人员和资源来进行检测。

为什么企业难以检测日益复杂的数据泄露事故呢？Red October恶意活动就是说明这个问题的很好的例子。作为恶意活动的一部分，攻击者会简单地通过钓鱼攻击来渗透企业，然后利用Java、微软Office等中的漏洞。当成功进入企业后，攻击者会试图获取授权用户的登录凭证，用来掩盖自己的行动。通过使用这些技术，他们能够长期驻留在企业中，窃取敏感信息，同时保持不被发现。对于攻击面扩大和/或预算紧张的企业而言，发现Red October这样的恶意活动可能会非常困难。

另外，请记住，在Verizon DBIR中，很多被第三方检测到的事故本来是可以通过适当部署PCI DSS安全控制来预防，或者通过更密切的监控系统所检测到的。IT团队可能只是将重点放在了错误的地方，或者预算和人员限制制约了他们应对复杂事故的能力。虽然与检测扫描网络或系统的互联网主机端口是否被非针对性恶意软件感染相比，检测数据泄露事故更加困难，但企业和安全专家必须记住，这是一个更有价值的任务，也是值得付出努力的工作。

请继续阅读企业如何提高数据泄露检测能力？（二）