網(wǎng)絡安全到底能否實現(xiàn)?
安全問題將始終是一大問題,無論是在任何地點、是否采用數(shù)字化或其他形式。然而,我們也可以從新聞報紙的頭條看出,形勢正在變得更加惡化,這也就不免引發(fā)了人們對于企業(yè)是否能夠很好的保護自己或是虛擬的竊取行為是否是在線業(yè)務的成本等問題的擔憂。顯然,目前所實施的這些保護方法都是不奏效的,無論是有形或無形的損失都在變得越來越多。但是,我們是否還有另一套選擇方案呢?
每個人都處于危險之中
雖然某些企業(yè)可能較之其他企業(yè)有更高的知名度,這也使得他們更容易成為黑客攻擊的目標,但事實上,幾乎每個人都有可能成為潛在安全攻擊風險的突破口。據(jù)AccelOps公司的產(chǎn)品營銷總監(jiān)本杰明·鮑威爾指出:“大多數(shù)時候,黑客在腦海中會有一個特定的攻擊目標或目的。例如,他們可能會想竊取信用卡信息或攻擊政府組織機構(gòu)?!比欢?,即使那些并未存儲任何敏感信息或并未提供任何涉及政治或其他明顯潛在被攻擊目標的企業(yè)也是脆弱的。“大多數(shù)黑客會讓他們的攻擊能夠部分的自動化識別系統(tǒng)。”鮑威爾說?!斑@些自動化工具(惡意軟件)在互聯(lián)網(wǎng)上是松散的。因此,只要您有一臺電腦是連接到網(wǎng)絡或互聯(lián)網(wǎng)的,您就很容易受到黑客攻擊。”
關(guān)鍵在于安全管理方法的改變?!叭绻髽I(yè)能夠使用一款自動化的工具,來實施自我保護。這意味著該系統(tǒng)無需由管理人員來告訴它在應用程序或服務器中什么是正常的流量或行為。然后,系統(tǒng)會自動識別怎樣的使用模式是不正?;虿粚こ5??!备鼈鹘y(tǒng)的安全策略包括將軟件或網(wǎng)絡活動的模式與已經(jīng)知道的惡意軟件或其他攻擊的模式進行比較。雖然這種方法具有其一定的價值,但這顯然是局限于那些已知的安全攻擊,其簽名已經(jīng)被集成整合到安全解決方案中。但是,這種方法對于任何以民族國家、獨立團體(例如,黑客團隊)或個別黑客為攻擊源,悄然發(fā)現(xiàn)任何安全弱點并進行安全攻擊而言,其價值可以說是很少的或沒有價值的。
“您企業(yè)的工具需要審核更廣泛的信息。”鮑威爾說?!捌髽I(yè)應該對信息進行收集和分析、了解趨勢和基線。信息應包括安全性、性能/可用性、變化和網(wǎng)絡流量信息。只有這樣,企業(yè)才能檢測和阻止來自黑客的‘挑戰(zhàn)’,當然,難點在于部署和實施這樣一個系統(tǒng)。識別已知的安全攻擊是一回事;而想要識別新的或未知的安全攻擊就是完全不同的另一回事了。
面對未知
系統(tǒng)能夠檢測以前未發(fā)現(xiàn)的或新的安全攻擊在理論上聽起來固然不錯;當然,這個問題目前也正在進一步實施過程中?!暗聦嵣?,想要為未知的安全威脅做好準備是很難的?!滨U威爾表示說?!按蠖鄶?shù)安全工具只知道他們已經(jīng)見過的攻擊行為。這就是為什么企業(yè)需要有一款安全工具可以進行自我學習,而無需被教導哪些流量是好的;哪些是壞的原因了。您企業(yè)所需要的是無監(jiān)督的機器學習,了解那些行為是正常的或常規(guī)的?!睘榇?,他還專門列舉了一系列的安全措施,企業(yè)可以遵循鮑威爾所列出的如下步驟來實施或改善其安全基礎架構(gòu):
1、從所有連接到網(wǎng)絡的服務器、應用程序和設備收集日志。
2、收集性能和可用性信息。
3、收集趨勢行為和性能統(tǒng)計數(shù)據(jù)。
4、監(jiān)測和收集NetFlow和sFlow信息。
5、發(fā)現(xiàn)和庫存網(wǎng)絡上的所有設備。
6、在所有服務器上安裝文件完整性監(jiān)控。
7、對所有閑置數(shù)據(jù)進行加密。
8、對日志和性能數(shù)據(jù)進行趨勢分析,以識別不尋?;蛭粗男袨椤?/p>
9、實時交叉相關(guān)的性能/可用性、安全性、變化和合規(guī)性信息。
10、當一個事件被觸發(fā)時,在您企業(yè)的正常售票/工作流系統(tǒng)(ServiceNow,ConnectWise,Remedy等等)自動創(chuàng)建事件。
11、具有突發(fā)事件應對計劃和程序
12、執(zhí)行內(nèi)部滲透測試,同時也聘請外部獨立的滲透測試團隊。
13、定期修補系統(tǒng)。
14、定期更換您的密碼。
15、實行職責分離,限制信息曝光。這種方法也將有助于避免給黑客進行攻擊的“鑰匙”。
16、實施計劃內(nèi)和計劃外的安全演習,以確保計劃的制定和跟蹤,并在發(fā)現(xiàn)問題時及時吸取經(jīng)驗,如:紅隊練習奪旗(獲取某些偽裝的機密信息)。
17、針對您企業(yè)的員工實施培訓,不僅需要培訓您企業(yè)內(nèi)部程序的操作,而且還包括您企業(yè)用以保護企業(yè)數(shù)據(jù)信息的安全產(chǎn)品的操作。
18、讓企業(yè)內(nèi)部不同的職能團隊緊密合作,使他們了解彼此的工作和責任。這樣做,將有助于當攻擊發(fā)生時,進行取證調(diào)查,并查明被入侵的系統(tǒng)。
19、調(diào)查被發(fā)送到您企業(yè)或國家以外的異常流量。
20、監(jiān)控VPN的訪問,并在當某人從非常規(guī)地點登錄時提供警報。
21、當軟件版本或性能特點改變時發(fā)出警告。
有些項目只是標準程序,無論企業(yè)是否是采取的一般性的安全性管理方法——例如,雇傭一個團隊或個人進行滲透測試,以找出安全弱點。雖然定期更改密碼本身并不能提高安全性(黑客猜中密碼的概率并不一定會改變,僅僅只現(xiàn)時的密碼與過去的密碼是不同的),但這些方法可以幫助限制或阻止由訪問漏洞所帶來的損失。但是,盡管如此,這項任務的困難部分在于如何從網(wǎng)絡數(shù)據(jù)推斷某種行為是否合法或不合法的。鮑威爾將該目標描述為“通過遵循數(shù)據(jù)相互交叉,并通過使用無監(jiān)督的機器學習來識別并阻止黑客攻擊”。第一家能夠做到如此精確、可靠且經(jīng)濟實惠的安全供應商將使市場重新洗牌。
然而,除了保障網(wǎng)絡安全,避免過多的誤判也是至關(guān)重要的:客戶或員工對于安全問題的過度熱心可能會導致帶來與安全性不足一樣糟糕的結(jié)果。此外,如果相關(guān)的識別分析是實時的,可能是有益的;而如果識別分析太晚則幾乎與沒有識別分析一樣糟糕。
安全性在變得更好之前,可能會進一步惡化
鮑威爾預計,在未來一兩年內(nèi),類似OPM攻擊這樣的事件會更頻繁。“究其原因在于大量的攻擊可能已經(jīng)發(fā)生,但尚未被發(fā)現(xiàn)。當前安全工具正在進一步更新其已知的安全攻擊,然后找到入侵系統(tǒng)。”不幸的是,如同在OPM的案例中,盡管發(fā)現(xiàn)了安全攻擊行為,但其一旦發(fā)生,相關(guān)的措施仍然不足以保護系統(tǒng)和客戶。例如,OPM已經(jīng)失去了大量敏感、且有價值的信息。自然地,在事后實施檢測有一定的價值,因為其能夠使系統(tǒng)能防止相同種類的攻擊未來繼續(xù)發(fā)生,但這往往是在相關(guān)數(shù)據(jù)信息已經(jīng)丟失的情況下。敏感信息,如社會安全號碼或(更具體地說)人體生物指紋等特征數(shù)據(jù),往往很少或根本沒有補救的辦法。
據(jù)鮑威爾看來,轉(zhuǎn)折點將出現(xiàn)在企業(yè)實施的安全措施能夠在攻擊行為發(fā)生時第一時間檢測安全攻擊行為的時候?!爸钡狡髽I(yè)能夠采用一種全新的方式,能夠?qū)崟r的將各種相關(guān)的數(shù)據(jù)信息交叉在一起時,他們才能夠很容易避免黑客的攻擊。目前,企業(yè)仍然處在迷失中?!?/p>
每個系統(tǒng)都容易受到損害,但顯然當前的安全管理方法是嚴重缺乏的。而企業(yè)如何應對安全威脅,并作出相應的反應將是決定互聯(lián)網(wǎng)的未來和數(shù)字經(jīng)濟的主要因素。