在經過這些趣事後，攻擊者現在又開始搜尋Keith當前的聯係人清單，標出了幾位VIP人物。他捕獲了Keith當前加密的用戶名和口令，現在他可通過這些偷來的資格直接進入另外的服務器並立即訪問，甚至不需要解密或破解口令。牢記著自己的任務，這位攻擊者隨後打開了一個到Keith計算機的shell提示，試圖發現他的計算機是否映射到某個網絡驅動器上。

攻擊者很幸運，他發現Keith的係統當前與網絡驅動器相連。這件事需要Keith的係統能對端口進行掃描。通過掃描，這位攻擊者將識別出可用端口，在係統上運行係統服務，並探查出網絡分段。現在有了一張網絡地圖在手，這位攻擊者來到先前在Keith的聯係人清單中標識出的某個VIP處：Norman Devries，他是ACME公司的CEO。Devries無疑是可以訪問收購數據的。我們的這位攻擊者無需比之前多做什麼，給這位CEO發過去一封電子郵件即可。這位CEO也點擊了一個他不該點擊的鏈接。一旦該行動完成，這位攻擊者就可訪問Landmark收購詳情（5300萬美元），以及產品集成計劃、即將發動的新服務和公司許多其它秘密。他之所以能做到這些是因為他能夠站在Norman的資格鑒定之上。

在不久以前，像這樣隻在小說事件中有所描述的攻擊還一直被認為是異常或罕見的。有趣的是，絕大多數的攻擊也揭示出在大多數黑客攻擊被發現之前很久，企業手中就已擁有阻止或至少減緩風險發生的數據。來看看Verizon Business 2010數據泄露調查報告：調查發現86％的數據泄露受害者在他們的審計日誌中有泄露證據，61％的受害者自己並未發現泄露事件——他們是被第三方告知才獲悉的。這是多麼窘迫的局麵啊。

如何阻止

如何在審計日誌中阻止所有那些數據泄露？並且更重要的是，如何阻止發生在Acme身上那樣的攻擊？首先：確保捕獲可能詳細記錄網絡上安全事件的那些數據。你可能擁有比你所認識到的多得多的安全數據分散在遍及防火牆、應用、路由器和其它的日誌資源中。大多數企業都擁有龐大的數據，可用於確定哪類事情正在他們的網絡內發生。問題是他們不知道如何彙聚這些數據並將這些數據用於采取相應行動。

這個問題引出了下一點：你需要準備好處理流程和可能需要的必要技術來耕耘你的安全日誌並準確定位出保持基礎設施安全所需要的信息。這些努力絕對是需要某些類型的日誌管理的。更好的辦法是安裝一套安全信息事件管理器（SIEM）來捕獲並關聯數據。采取更進一步的措施，將那些數據與身份和訪問信息集成也是十分緊要的。那樣的話，在我們的黑客事例中，早在任何私有數據被訪問之前就會發出很多警報提醒安全經理。

在了解安全威脅已變得越發險惡的同時，記住安全防禦措施已變得愈加強大也是十分重要的。關鍵是要采取必要的措施來保護基礎設施和數據的安全。而這也是大多數企業所缺乏的。而錯誤的代價將會變得日益高昂。