现在,是时候摒弃传统的黑名单模式了,这种模式只是定义应该被限制的内容,但它默许其他一切行为。面对不断增加的恶意软件,通过清单、规则以及合规管理安全的传统方法已经不足够。下面让我们看看最新威胁报告发现的事实:
·2013年共有约181万网站重定向事件用于感染端点(出自2014年Websense威胁报告)
·已知恶意软件(包括勒索软件和rootkit)同比增长约15%,合共约1.96亿独特的样本(2013年第四季度McAfee威胁报告)
·应用程序漏洞比操作系统及浏览器漏洞的总和还高175%(微软安全情报报告)
随着移动技术的快速普及,传统个人计算设备占终端设备的比率比过去更小。
在Gartner的《企业端点保护:消费者为王》报告中指出:尽管传统个人计算设备(例如笔记本电脑和台式机)只占端点设备的一小部分,但它们仍然是最容易受到攻击且最难以保护的设备。此外,由于我们继续使用传统的基于签名或黑名单技术,这些设备仍然是网络攻击的主要目标。
猫捉老鼠的游戏
在较高的水平,几乎所有网络攻击的四个主要目标是:瞄准漏洞、放置有效载荷、保持不被发现和获取数据。但现在,攻击者已经非常了解我们黑名单技术的优缺点,甚至还知道它们如何处理不同的攻击模式,我们不再可能与攻击者玩“猫捉老鼠”的优势。有了这些知识,攻击者能够:
·部署具有有限分布的有针对性的攻击
·迅速循环攻击以找出黑名单技术中可以利用的盲点
·制造噪音来转移安全团队的注意力,并提高攻击被忽视的可能性
黑名单的无效显著提高了攻击者的成功率,我们作为安全专业人员必须重新评估是否应该继续采用这种黑名单模式。更重要的是,随着我们的IT基础设施进一步扩展到适应移动计算平台、桌面虚拟化和云计算,我们必须努力部署基于动态的“已知良好”保护的安全控制。
考虑所有我们部署到传统的个人计算设备的安全控制:防病毒技术、入侵防御、数据丢失防护等。这些只是有助于端点保护的部分安全技术,它们具有不同程度的有效性。然而,面对日益增加的威胁和不断发展的技术,为了保持可接受的风险水平,我们必须改变我们的观点,并部署基于风险的端点保护战略。
我们有很多技术可以帮助减少传统个人计算设备的攻击面。从历史上看,我们的行业一直采用着黑名单安全模式,这种模式只是定义应该被限制的内容,并默许其他一切,但由于检测率不高,这种做法被证明不可行。
看到光明的一面
通过基于风险的方法,而不同通过特定技术管理威胁,我们可以管理攻击面,减少更广泛范围的威胁。例如,在2010年,澳大利亚信号理事会采用以风险为基础的方法来减少有针对性的网络入侵,他们发现没有单一的安全控制可以阻止恶意活动,但结合“积极安全”战略,能够更有效地减少入侵,提高了85%。
以风险为基础或积极安全做法也能够带来明显的业务优势:
·替换无效或对整体端点保护贡献不大的安全控制(例如防病毒技术)
·通过消除(黑名单)签名数据库,提高整体端点性能,这种数据库消耗大量网络和系统资源
·不再需要跨远程位置部署(黑名单)签名更新,减少了基础设施的压力
·减少被动地维持安全技术所需的工作,提高运营效率
通过改变我们的端点保护战略,遵循积极的安全模式,我们能够结合有效的最低特权做法,或者默认情况下完全拒绝的做法,从而提高安全性。在动态攻击环境中,这种方法是更有效的端点保护战略。