掌握迹象 走在攻击前面

数据往往是企业最具价值的资产，通常每天都有大量的授权用户访问敏感数据。企业是否应该开始寻找潜在的裂缝?如果攻击只是障眼法，那么应该如何采取更有针对性的关键突破来寻找其真正的意图?

首先要处理的就是异常数据访问模式，如用户在工作时间以外或度假时访问数据。最可疑的是，用户在美国但是其访问路径却来自另一个国家。其它应提高警戒的模式还包括，用户在很短的时间内复制大量的文件或发送有附件的若干邮件到一个特定地址。

IT也应该明白谁有权获取数据。例如，当系统管理员管理服务器以使其有效运行，但根本没有必要真正访问其中运行的数据。如果一个系统管理员下载财务报告就应该引起警惕。当然，并不是所有的活动都需展开调查。例如,一个经常加班的员工通常可能会深夜访问数据，系统管理员可能会下载一个文件来测试程序对于用户的可用性。这就是为什么理解趋势是关键。

为此，IT必须超越用户趋势并保持对网络攻击趋势的清醒认识。试图了解用户公司的地理位置是一个典型的黑客目标行为，IT可以投入资源来监视和防止最有可能发生的威胁。

超越趋势来运行，IT应该认清流行的攻击向量迹象，如SQL注入。有一种方法可以在SQL注入太久之前捕捉到它，就是关注Web服务器出站页面大小。当攻击者操纵一个Web应用程序从数据库提供数据时，会产生一个包含数据库内容的巨大HTML页面。SQL注入攻击往往导致重要数据漏出的风险很高， 而这种攻击往往忽视了这一点。通过观察到此迹象，IT可以留意大的出站HTML页面，尽早捕获SQL注入攻击，迅速阻止数据的丢失。

良好的攻击者试图模仿有效的网络流量和系统流程。幸运的是，因为每一个恶意软件的附加部分在系统运行时都会增加噪音，对IT来说堪称一个伟大的技巧。新安装程序的突然出现、自动启动和停止、或系统在异常时间活动都将是网络潜在威胁的迹象。

最后，就是障眼法。我们经常看到黑客在短时间内对大公司以大规模的DDoS展开攻击，以期待安全人员偏离正常轨道。虽然IT正在努力减轻攻击和保持网站正常运行，黑客依然可以神不知鬼不觉地潜入其他被忽视的领域。处理DDoS攻击时同样要记得留意后院。企业IT意识到用户和攻击趋势是十分重要的，同时警惕违规迹象---大的如DDoS，小的如一些在同一时间邮件向同一地点传送的数据。