曾入侵Heartland Payment Systems公司的三名黑客最近被提起訴訟，該事件也再次強(qiáng)調(diào)了嚴(yán)格控制企業(yè)數(shù)據(jù)和訪問數(shù)據(jù)的應(yīng)用程序的必要性。

　在這個(gè)眾所周知的支付處理公司入侵案件中，入侵者利用SOL注入進(jìn)入Heartland公司的服務(wù)器。然后，他們安裝網(wǎng)絡(luò)探查器，這些探查器可以捕獲在金融交易中使用的銀行卡的數(shù)據(jù)。這種惡意軟件能夠逃過多種殺毒程序的監(jiān)測。人們認(rèn)為，在交易驗(yàn)證過程中，銀行卡數(shù)據(jù)在解密的一瞬間就可以被這些惡意代碼所竊取。這次入侵是從2008年5月開始的，在Heartland公司通過遵從PCI數(shù)據(jù)安全標(biāo)準(zhǔn)要求不久之后。

　雖然網(wǎng)絡(luò)通過審計(jì)遵從了安全標(biāo)準(zhǔn)，但并不能意味著這樣做就能一勞永逸。黑客們了解企業(yè)使用的安全方法，甚至其他更多的信息，他們也一直在努力尋找攻破這些安全防護(hù)的辦法。系統(tǒng)管理員需要跟黑客們一樣勤奮，時(shí)刻檢查和監(jiān)視他們自己的系統(tǒng)，并且了解最新的攻擊技術(shù)和安全對策。為此，安全團(tuán)隊(duì)的工作不是簡單地完成一個(gè)檢查列表或者通過一個(gè)審計(jì)就可以了，他們需要做的是在數(shù)據(jù)的整個(gè)生存周期中保護(hù)網(wǎng)絡(luò)資源和數(shù)據(jù)。在本文中，讓我們來看一些跟蹤數(shù)據(jù)和應(yīng)用程序的方法：

　1、映射所在的網(wǎng)絡(luò)：首先，使用一個(gè)工具（比如Nmap，一款免費(fèi)的掃描軟件）來搜索和記錄在網(wǎng)絡(luò)中運(yùn)行的設(shè)備和應(yīng)用程序的信息。然后，把掃描的結(jié)果跟一個(gè)已知的、可接受的安全基準(zhǔn)進(jìn)行比較。定期的掃描能夠幫助你了解網(wǎng)絡(luò)中的內(nèi)容和用戶，以及他們是否應(yīng)該出現(xiàn)在網(wǎng)絡(luò)上。對于任何看起來不正常的事務(wù)，安全人員都可以對其進(jìn)行深入的調(diào)查，并集中精力處理潛在的不安全領(lǐng)域。

　2、監(jiān)測異?，F(xiàn)象：監(jiān)測進(jìn)入網(wǎng)絡(luò)的流量、穿過網(wǎng)絡(luò)的流量、流出網(wǎng)絡(luò)的流量是很重要的。要進(jìn)行遠(yuǎn)程偷竊數(shù)據(jù)，黑客不僅要找到數(shù)據(jù)，還必須有能力得到這些數(shù)據(jù)。網(wǎng)絡(luò)行為分析會(huì)持續(xù)的監(jiān)測各種流量，并把監(jiān)視的結(jié)果跟一個(gè)正常的流量行為基準(zhǔn)進(jìn)行比較和分析。而且，不正常的行為潛在預(yù)示出某些錯(cuò)誤。舉個(gè)例子，如果監(jiān)視到存在與Heartland公司付款系統(tǒng)相關(guān)的、不正常的收費(fèi)情況之后，Visa和Mastercard會(huì)提醒公司可能出問題了。也需要定期的對入侵監(jiān)測系統(tǒng)(IDS)、入侵預(yù)防系統(tǒng)(IPS)和防火墻日志進(jìn)行分析，以便捕獲破壞、異常和可疑活動(dòng)的跡象。

　3、知道數(shù)據(jù)的存儲(chǔ)位置： 數(shù)據(jù)丟失防護(hù)技術(shù)（比如Symantec公司的DLP產(chǎn)品系列和McAfee公司的DLP工具）能幫助確保企業(yè)熟知自身的信用卡數(shù)據(jù)和其他關(guān)鍵數(shù)據(jù)的存儲(chǔ)位置，以及敏感數(shù)據(jù)的使用方式。這種技術(shù)能監(jiān)視和防止數(shù)據(jù)復(fù)制到可移動(dòng)存儲(chǔ)設(shè)備中，該技術(shù)正是對付內(nèi)部攻擊的關(guān)鍵。。

　數(shù)據(jù)危害事件可以使一家公司的名譽(yù)掃地，并且損失的財(cái)產(chǎn)往往比部署優(yōu)良安全策略的費(fèi)用要多得多。Heartland公司的股票自從入侵事件公布以來一直在下跌，公司還面臨著法律訴訟和罰款。不能夠跟蹤運(yùn)行在網(wǎng)絡(luò)中的數(shù)據(jù)或者應(yīng)用程序，這讓企業(yè)面對類似的數(shù)據(jù)泄漏事件時(shí)無能為力，會(huì)繼續(xù)長時(shí)間忽視數(shù)據(jù)泄漏問題。

　作為最低限度，網(wǎng)絡(luò)管理員應(yīng)該使用像Nmap這樣的工具來建立允許在網(wǎng)絡(luò)上運(yùn)行的數(shù)據(jù)和應(yīng)用程序的詳細(xì)目錄和基準(zhǔn)。此外，在數(shù)據(jù)使用控制方面，隨著網(wǎng)絡(luò)必須支持的通信信道和便攜式驅(qū)動(dòng)的暴增，數(shù)據(jù)丟失防護(hù)產(chǎn)品也逐漸成為必須的安全工具。如果你所在的公司還能夠?yàn)橘徺I網(wǎng)絡(luò)行為分析工具（這種工具可以監(jiān)視流量和檢測不正常的活動(dòng)）騰出預(yù)算，那就更好了。網(wǎng)絡(luò)行為分析不同于即時(shí)修復(fù)（instant fix），它還是一種不太完善的技術(shù)。然而，入侵行為不管多么厲害，都是一種不正常的行為，而這種類型的監(jiān)測是揭示系統(tǒng)是否被攻破的最佳途徑之一。