随着网络犯罪分析开始利用更复杂的工具和技术，数据泄露事故逐年增加。并且，这种趋势可能会持续下去。

同时，在泄漏数据数量猛增的情况，处理这种情况的成本也随之上升。让我们看看一组令人震惊的数据：在2017年全球共有26亿条记录遭泄漏，这与前一年相比增加88%。根据IBM赞助的Ponemon研究所对2017年的研究显示，平均数据泄露事故需要花费362万美元。虽然这比2016年的400万美元有所减少，但企业面对着更大型的数据泄露事故。

这给IT部门带来巨大的压力，他们迫切需要改善企业网络安全，而这首先应该制定计划以识别网络安全漏洞以及消除这些漏洞。这些安全漏洞的性质包括从架构性和资源相关性到技术性。

为了识别和修复这些漏洞问题，企业需要进行彻底的风险评估。根据美国国家标准与技术研究所的定义，此类评估旨在确定“对企业运营（包括使命、职能、形象或声誉）、企业资产和个人构成的网络安全风险”。

通过风险评估，企业可确定其业务面临的最危险的内部和外部威胁，并概述已经部署的控制和保护措施。风险评估还需要全面的资产清单—系统、网络基础设施技术和非技术资产，包括这些资源支持哪些业务服务以及哪些利益相关者负责维护它们。

非常多的企业将风险和漏洞评估与年度合规性测试关联，而不是理解这些评估可在数据泄露事故发生前提供关键信息来修复漏洞。要使风险评估成为IT安全做法中真正有效的元素，企业需要将这视为持续工作，保持更新资产信息以及重新审视新的IT基础架构和网络安全漏洞。同时，频繁的渗透测试可确保企业找出可能使其面临风险的潜在漏洞。

弥补安全技能缺陷

对于大多数企业而言，主要的安全缺陷是缺乏安全技能。无论企业是否有足够的员工，还是技能集有限，亦或是二者兼而有之，IT企业都会发现自己难以应付威胁环境。很多安全专业人员经常被警报淹没，他们通常会关闭警报并忽略威胁。即使是资源充足的企业也时常难以吸引网络安全人才，研究人员预计在2020年将会有200多万个职位空缺。

对此，企业可以通过技术来弥补人才短缺问题，但他们也需要重新评估做法，企业应该考虑以下问题：

• 在网络威胁环境中，传达变化消息的难易程度？
• 企业是否部署有正确的工具来查找和修复新的网络安全漏洞？
• 网络安全专业人员是否能根据资产的价值和受影响数据的重要性来优先安排响应工作？
• 企业是否有事故响应计划来在数据泄露事故发生时予以缓解？

企业应该部署一个系统来了解资产的价值并在其变化时调整其估值，这可帮助优先排序修复工作。有些企业选择创建自己的内部风险评估工具，或者企业也可选择第三方服务来帮助简化这部分风险管理流程。

可识别网络安全漏洞的工具

在使用这些工具来优先排序响应工作时，同样重要的是，确保持续地使用这些工具。遗憾的是，即使是最有用的网络安全工具甚至都未得到充分利用或者正确利用。

在企业安全防御方面，对于使用补丁管理系统存在显著差异。有效的补丁管理程序需要一个系统在必要时快速安装修复程序。如果系统被设置为不自动推出更新，那么，网络或安全管理员有责任抵御零日威胁。这可能意味着无法及时修复漏洞，导致网络安全漏洞可能被利用。

身份和访问管理是另一个没有发挥其作用的组建。网络攻击者可突破密码和其他传统控制，因此，多因素身份验证是保护资产免受攻击的重要工具。在所有系统和应用程序（包括远程访问网管和云平台）设置多因素身份验证访问控制可立即改善企业的安全状态。

但也许企业提高其防御的最佳机制是制定、商定和执行一套有效的政策，以避免网络安全漏洞。最终用户教育是这里的重要组成部分。清晰的文档记录、最终用户培训以及与员工及用户保持沟通可限制人为错误并提高整体安全意识。