“基于静态规则和签名的预防工具无法阻止确定的先进的攻击。”EMC安全部门RSA技术解决方案主管Rob Sadowski说。因此，重要的是，优先考虑早期检测和响应，以确保黑客入侵不会导致业务受损或商业损失，他说。

为了推动这种变化，IT领导者们需要使用能够在可视性方面提供更多细粒度的工具，以便他们更多的了解基础设施的情况，Sadowski说。

这是必要的，例如，增强现有的以日志为中心的网络数据包捕获和端点监测技术，使安全管理员能够获得对于攻击者活动的更全面的了解。

在发现和限制由凭据和身份所造成损害的影响方面，利用身份管理，身份治理和行为分析工具，也同样重要，Sadowski指出。

万事达卡的Green说，企业需要采取一种多层的方法来确保安全。“如果你企业只是寻找一种方法，可能不能涵盖所有需求。”他认为企业过于依赖于基于签名的周边安全技术。

这种多层方法应包括防范内部攻击，而不仅仅是防御外部攻击的手段。“企业内部的安全威胁往往更具挑战性，” Green说。“所以，企业应该有套强大的和分层的安全计划，能够解决企业内部和外部的安全威胁，并允许您在问题出现的情况下，快速识别并解决。”

　　3、安全代码开发

脆弱而易受攻击的Web网络应用程序经常会为黑客提供对于企业网络和数据相对容易的访问，所以确保这些网络应用程序的安全是至关重要的，进而才能确保数据的完整性和保密性。

常见的、易于理解的不足之处，如SQL注入错误、跨站点脚本缺陷、失效的验证和会话管理功能都难倒了许多企业。但最近一波主要针对大型企业的黑客入侵组织真正推动了对于安全代码的需要。

“如果你企业正在开发一款应用程序，随之需要考虑的便是安全方面的期望。” Green说。“当涉及到安全和隐私保护时，您肯定希望从供应商那里购买的技术都是他们最顶尖的巅峰技术。”这同样也适用于供应链合作伙伴和产品服务的其他供应商，他补充道。

硬化的计算系统的软件组件是特别棘手的，因为漏洞可以被嵌套在代码深处， IBM的Pistoia说。为了防止应用程序被攻击，从而维护数据的完整性，企业必须让安全管理成为软件生命周期的所有阶段的一部分，而适当的代码审查的做法也需要到位，他说。

对于许多大型企业而言，手工进行代码审查的成本将是非常昂贵的。所以一个可行的选择方案将是采用自动的方法，通过将静态和动态程序分析相结合，并让代码分析处理成为应用程序开发的一个组成部分。

“高级应用程序开发系统现在可以在每次提交或基于一定的周期进行应用程序的代码检查。” Pistoia说。其向应用程序开发人员们显示了需要进行简洁修复和易于遵循的步骤，他补充道。

“应用层已经成为网络安全最新的战场，其不仅仅是安全团队的焦点，同时也是企业系统开发生命周期团队所关注的重点。”在线发票和支付平台供应商Viewpost公司的总顾问和首席安全官Chris Pierson表示说。

将重点聚焦在静态和动态代码审查已经成为更多的产品开发管道，他补充说，IT专业人员更注重的开放Web应用安全项目的前10大安全隐患。

重要的是，越来越多地采用DevOps方法给一些机构带来了在软件开发生命周期的早期阶段集成安全性的契机。“安全性是推动DevOps采用的一个很大的因素。” 信息安全专家兼DevOps.com网站主编Alan Shimel说。

开发和运营团队必须认识到，安全必须是他们共同的责任，并需要在产品生命周期的早期，进行整合控制。它需要更经常比现在发生了什么事情发生，他说。 “我们仍然处在需要说服大多数企业的安全团队DevOps可以有助于提升安全性的阶段。”Shimel说。

　　4、关注人为因素

近年来，许多最大的攻击在其最初都是相当无害的，随着 攻击者逐步进入网络，使用合法用户，如员工，商业伙伴或供应商的登录凭据进入网络。黑客利用社会工程技术和钓鱼电子邮件盗取属于别人的用户名和密码，进而访问企业网络，然后借助该最初的立足点查找和访问关键的企业系统和数据存储。

这一战术曾被入侵者用来攻击过的目标包括：Target、Home Depot、美国人事管理办公室及其他网站。这些机构现在已经把注意力集中在了对员工和其他授权用户需要更多地了解安全风险和培训方面，以确保用户能够识别和抵抗潜在威胁。

“企业员工真的需要明白自己在保护公司资产中所发挥的作用”万事达卡的Green说。

在许多情况下，对企业数据有访问权限的员工用户并不觉得个人有义务保护对数据的访问。为了鼓励这样的用户接受一些维护企业系统的责任，Green说万事达卡公司采用的政策是“构建学习文化，以便我们可以定期教育员工，让他们了解如何保护我们的资产更安全，特别是当新的威胁出现时。”

作为这方面努力的一部分，万事达卡结合了传统的训练方法和Green所谓的“寓教于乐的方法”来传递重要的信息。“因为犯罪分子总是越来越聪明，我们必须在加强保护的意识方面必须领先他们一步。”他说。这个想法是为了给员工留下深刻印象：他们是安全团队的一部分，即使他们可能不会向安全团队报告工作。

“正因为如此，现在已出现了创造性的方式来加强我们的安全。”Green说，并介绍了一项安全倡议呼吁保护持卡人数据，成为安全网，该安全倡议是由万事达卡于去年十月发起的。

　　5、保护您的业务流程

一家拥有最好的安全技术的企业，仍然可能会被坏的实践操作方法和流程所绊倒。这就是为什么Fenwick &West的IT部门会实施Kesner所说的针对企业涉及敏感数据处理的政策和过程需要进行相关大大小小的改变的原因了。

例如，在过去，这家法律公司的政策是尽可能采取加密传入和传出的客户端数据的方法。而现在，这已经是一项绝对的要求。Kesner的团队还实施了新政策，以确保对公司存储区域网络的数据是加密的，而且在传输过程中也是加密的。所有公司的笔记本电脑和台式机的敏感数据均是加密的，IT每六个月运行审计和测试，以验证这些加密。

该法律公司有第三方和安全公司定期来做渗透测试和模拟攻击，而且没有什么禁区限制。“有了适当的保密协议，我们可以让安全工程师针对每件事情执行渗透测试。”Kesner说。之后，IT团队要求安全服务公司给出一份名单，详细列出他们需要在实际的安全政策方面需要改革的五项变化。

Fenwick &West公司现在要求所有的合作伙伴，以书面披露他们的安全实践的完整细节，并承认他们了解法律公司的安全政策和流程。合作伙伴必须实施双因素身份验证，不再允许使用用户名和密码到Fenwick网络进行验证。

各种各样的企业都在采取类似的方法。网络安全是一项首要任务，而企业领导团队和董事会也承认这一事实。“企业董事会希望和要求了解公司的网络安全的立场是从控制、治理和运营的角度来看的。”Viewpost的Pierson说。

“如果你想吸引并留住客户的信任，安全和隐私必须成为你企业的文化和价值主张。”

(责任编辑：安博涛)