安全威脅正在不斷升級(jí)，應(yīng)對(duì)這些安全威脅需要企業(yè)信息安全專業(yè)人員及其觀念也要“升級(jí)”。

我們都知道阻止不良行為者進(jìn)入你的網(wǎng)絡(luò)并不難，我們也都同意，應(yīng)該對(duì)不同的用戶群分配不同的權(quán)限級(jí)別。同時(shí)，我們也都認(rèn)為，某些系統(tǒng)包含比其他系統(tǒng)更有價(jià)值的數(shù)據(jù)。那么，為什么我們似乎都不能完成這些事情呢?

[[139190]]

事實(shí)證明，雖然安全概念很容易，但具體部署并不容易，看看最近接連發(fā)生的安全泄露事故就知道。索尼、家得寶、Target、Skype和Neiman Marcus等公司都遭到攻擊，醫(yī)療保險(xiǎn)公司Anthem和Premera也一樣。

數(shù)據(jù)泄露事故的成本

這些攻擊給企業(yè)帶來(lái)嚴(yán)重影響，這些企業(yè)的品牌和聲譽(yù)受到影響，消費(fèi)者的身份和財(cái)務(wù)數(shù)據(jù)的隱私性及安全性也遭到破壞。而這些都會(huì)讓受影響企業(yè)遭受嚴(yán)重的財(cái)務(wù)損失，有些企業(yè)可能甚至面臨破產(chǎn)。

零售及金融服務(wù)行業(yè)并不是唯一面臨風(fēng)險(xiǎn)的行業(yè)。在過(guò)去的20年中，網(wǎng)絡(luò)攻擊已經(jīng)演變成更先進(jìn)和更具破壞性的攻擊，有時(shí)候還會(huì)瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施。例如，針對(duì)伊朗核計(jì)劃的攻擊讓我們注意到，網(wǎng)絡(luò)不僅受到先進(jìn)黑客團(tuán)體的攻擊，也受到民族國(guó)家的攻擊。即使是表面無(wú)法從外部訪問(wèn)的系統(tǒng)也可能受到攻擊。面對(duì)這個(gè)問(wèn)題，我們不禁會(huì)想，IT專業(yè)人士發(fā)展最快的專業(yè)是不是網(wǎng)絡(luò)安全?

安全公司IronNet Cybersecurity調(diào)查稱，2014年世界各地的公司花費(fèi)約3640億美元來(lái)應(yīng)對(duì)安全泄露事故。這是一個(gè)令人驚訝的數(shù)字，而且這個(gè)數(shù)字每年都在增長(zhǎng)。

安全泄露事故未被檢測(cè)

美國(guó)聯(lián)邦調(diào)查局前局長(zhǎng)Robert Mueller在談到當(dāng)前安全狀態(tài)時(shí)稱，“只有兩種類型的公司：已經(jīng)遭受攻擊的公司，即將遭受攻擊的公司。”筆者將后面一部分改為：“已經(jīng)遭受攻擊的公司，以及還不知道他們已經(jīng)遭受攻擊的公司，”因?yàn)榇蠖鄶?shù)公司沒(méi)有足夠的安全監(jiān)控基礎(chǔ)設(shè)施。

例如最近遭受攻擊的醫(yī)療保險(xiǎn)服務(wù)提供商CareFirst公司，安全公司Mandiant在幫助該公司保護(hù)其系統(tǒng)時(shí)發(fā)現(xiàn)了這個(gè)攻擊。人們不禁要問(wèn)，還有多少保險(xiǎn)公司和醫(yī)療機(jī)構(gòu)不知道他們的安全狀況。

根據(jù)2015年Mandiant M-Trends報(bào)告顯示，在系統(tǒng)遭受攻擊后，攻擊者在系統(tǒng)中保持不被發(fā)現(xiàn)的時(shí)間是205天。更糟糕的是，69%的數(shù)據(jù)泄露事故是由外部實(shí)體發(fā)現(xiàn)。也就是說(shuō)，這些公司本身并沒(méi)有發(fā)現(xiàn)自己已經(jīng)遭受攻擊。顯然，檢測(cè)是一個(gè)挑戰(zhàn)。

需要真正的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)

直到最近我們才發(fā)現(xiàn)這個(gè)問(wèn)題的部分原因，在大多數(shù)企業(yè)的決策者根本沒(méi)有意識(shí)到他們所面臨的真正威脅。對(duì)于他們來(lái)說(shuō)，網(wǎng)絡(luò)安全只是審計(jì)報(bào)告中的各種復(fù)選框，是的，我們有防火墻，是的，我們運(yùn)行著殺毒軟件，然后就沒(méi)有然后了。多年來(lái)，“設(shè)置后就忘記”是很多企業(yè)的做法，而且現(xiàn)在才開(kāi)始改變。首席信息安全官的職位已經(jīng)開(kāi)始普及，這個(gè)職位通常擁有與IT運(yùn)營(yíng)的CIO[注]相同的運(yùn)營(yíng)監(jiān)督和權(quán)威。這種變化正在改變企業(yè)處理信息安全的方式。

防火墻和隔離的DMZ已經(jīng)不再夠用，殺毒軟件或其他傳統(tǒng)保護(hù)技術(shù)也不再可行。因?yàn)?，盡管這些標(biāo)準(zhǔn)做法和基本的監(jiān)控在過(guò)去可行，但現(xiàn)在攻擊者會(huì)長(zhǎng)期潛伏在系統(tǒng)中，竊取敏感數(shù)據(jù)。不僅檢測(cè)是挑戰(zhàn)，防御也是挑戰(zhàn)。

如何防止數(shù)據(jù)泄露事故

現(xiàn)在很多攻擊都是通過(guò)社會(huì)工程來(lái)執(zhí)行，例如讓用戶點(diǎn)擊電子郵件中的惡意鏈接，對(duì)此，培訓(xùn)成為防御戰(zhàn)略的重要部分。而我們?cè)谶@里列出的大多數(shù)攻擊都使用有效登錄憑證來(lái)執(zhí)行攻擊，攻擊者未被發(fā)現(xiàn)是因?yàn)樗麄冊(cè)诨诮巧脑L問(wèn)控制(RBAC)系統(tǒng)的范圍內(nèi)進(jìn)行操作。如果我們固守舊觀念，認(rèn)為網(wǎng)絡(luò)內(nèi)的威脅沒(méi)有外部威脅那么嚴(yán)重，那么我們就已經(jīng)輸了。威脅可能主要來(lái)自外部，但在現(xiàn)在的環(huán)境中，攻擊者并不會(huì)破門而入。

現(xiàn)在處理網(wǎng)絡(luò)安全的最好方法之一是獲得對(duì)網(wǎng)絡(luò)的可視性。如果你只是監(jiān)控選擇的流量或服務(wù)器，或者檢查系統(tǒng)記錄數(shù)據(jù)，這是遠(yuǎn)遠(yuǎn)不夠的。我們需要讓網(wǎng)絡(luò)可以監(jiān)控幾乎一切信息，如果你不能看到所有信息，你就無(wú)法作出反應(yīng)。

更高和更實(shí)惠的帶寬、更好的交換架構(gòu)、更強(qiáng)的計(jì)算能力、更快和更大的存儲(chǔ)，讓企業(yè)的監(jiān)控工作變得比以往任何時(shí)候都更加艱巨。但是現(xiàn)在并不是不可能對(duì)網(wǎng)絡(luò)中的所有流量進(jìn)行捕捉和實(shí)時(shí)分析，以及存儲(chǔ)用于未來(lái)分析。當(dāng)然，你也不可能永遠(yuǎn)保存所有這些信息，除非你有無(wú)線的政府資助，不過(guò)，大部分大型企業(yè)還是可以存儲(chǔ)一定的時(shí)間。

實(shí)時(shí)大數(shù)據(jù)[注]安全分析是高級(jí)威脅防御戰(zhàn)略的另一個(gè)重要組成部分。按網(wǎng)絡(luò)速度捕捉數(shù)據(jù)是一回事，但如果你依靠人眼來(lái)發(fā)現(xiàn)威脅和應(yīng)對(duì)，這將無(wú)濟(jì)于事。而這正是大數(shù)據(jù)分析的用武之地，大數(shù)據(jù)分析可以分析非結(jié)構(gòu)化數(shù)據(jù)，獲取你可能甚至不知道的信息。這也是信息安全歷史的第一次，我們可以進(jìn)行啟發(fā)式安全威脅分析。

當(dāng)然，我們?nèi)匀恍枰獜?qiáng)大的報(bào)告引擎和人類監(jiān)督，不過(guò)，企業(yè)應(yīng)該將先進(jìn)的分析工具作為第一道防線。威脅還會(huì)繼續(xù)發(fā)展，攻擊者還會(huì)找到新的攻擊途徑，這意味著，我們也必須迅速發(fā)展。