什么是安全人员心中最佳的必备的安全工具?本文列出的工具均为产业分析师、安全从业者,以及行业协会成员的意见和推荐。这些安全专家指出,安全没有灵丹妙药,最好的策略就是部署一个尽可能全面地深度解决方案。
Windows上帝模式与SysInternals
罗恩·沃那是大学的网络安全研究主任,他认为对IT技术人员和安全从业人员而言,最重要的是对网络安全知识的了解,以及知道从哪里获得关于某一题材方面的技术、工具。了解所有事情是不可能的,因此应当集中精力获取高质量的信息。
沃那推荐了两个网站供读者参考:www.howtogeek.com和blogs.msdn.com,以及两个工具箱:SysInternals和Windows GodMode。前者是一系列Window工具的集合,而后者则是一个系统控制面板自带的管理员应用。
微软EMET
微软的增强缓解应急工具包(EMET),是一个工具箱,可以帮助阻止软件中的漏洞被利用的实用程序。
佛罗里达中部大学的计算机科学与工程方向副教授伊尔·金认为,EMET通过使用安全缓解技术来实现此目的。这些技术用作特殊防护和阻挡,导致利用者必须攻克障碍才能利用软件漏洞。这些安全缓解技术不保证这些漏洞不被利用。而是尽量使漏洞的利用变得尽可能困难。
Secure@Source, Q-Radar, ArcSight, Splunk
杰夫·诺茨洛浦是国际隐私专业人员协会(IAPP)的首席技术官,他使用数据安全情报这样的名词来描述那些帮助IT人员理解数据基本情况的工具。
“目前,我们拥有商业化情报工具、数据整合工具、数据发现工具、数据加密工具、合规工具,以及SIEM工具。然而在使用这些工具之前,安全人员需要理解收集到的到底是什么数据,它的位置在哪、它的结构是什么样、如何被分类、如何被使用。大多数供应商都只在这其中的一两个领域中展开行动,理解那些自己正在保护的数据本身是很重要的,但目前只有一小部分公司认识到了这一点,并扩展自身的产品,适应这种需求。”
诺茨洛浦列出的工具包括Informatica公司的Secure@Source解决方案,以及IBM的Q-Radar,惠普的ArcSight、Splunk。
内部威胁保护
麦克·帕培是Northrop Grumman公司的副总裁和CISO,他表示,“如果想要清除破坏性恶意软件、解决内部人员造成的数据泄露事件,公司应当在那些提供从内到外全方位保护的安全工具上投资。类似于破窗理论,那些可以作为基准,进行探测并对侵入网络或客户端上的陌生行为发出报警的安全工具可以帮助公司在威胁周期中提前消除那些存在问题的活动。”
特权身份管理
“我推荐特权身份管理(PIM)工具,它们可以控制管理员级的密码,在某些情况下甚至可以管控共享的密码和身份信息。”Forrester公司的副总裁、首席安全/风险分析师安德拉斯·西撒表示。
“通过完全取代访问内部网络和云负载的实时管理员权限,这些工具对于防止数据泄露而言是极端重要的。它们可以让攻击者窃听得到的管理员密码和根密码一文不值。同时,一般而言,PIM会进行密切检测,并记录所有接入设备的可编程权限或管理员权限。”
补丁管理
“有三种工具是每家公司都应该拥有的,”City of San Diego公司的首席信息安全官、副主管盖瑞·海斯利普说。
“补丁管理、数据备份,以及全盘加密这样的工具会提供基础的网络卫生(Cyber-hygiene)环境,让公司得以继续安全成长,对安全事件进行响应。然后,当预算更加充足时,这些公司可以为公司提供更多的安全控制。如果必须在这些里面选一个的话,我会选择补丁管理。部署补丁管理策略能够保证公司的IT资产版本最新,降低风险暴露,使得坏人更难入侵。不过这方面基本没有什么一站式解决方案。”
Cyphort
大卫·詹布鲁诺是Tribune Media的高级副总裁和首席情报官,他建议公司应当向着一种名为“软件定义数据中心”的概念前进。
“我们正在使用VMware的解决方案栈中的微观细分功能。从历史上来讲,这对硬件非常有挑战性,但在软件世界里,所有东西都可以用安全姿态封装起来。不论是在内部还是在外部网络里,安全都可以跟随着文件流动。审计能力、操作自动化、变化能见度的防御能力正在改变传统防御方式。”
詹布鲁诺部署了Cyphort,利用云端监测来自美国东西部的数据。
蓝盒子
约翰·约翰逊博士是John Deere的安全策略师安全架构师,他认为:“其中一个有趣的新领域是使用技术在用户和SaaS解决方案中提供一个新的层面,因此公司可以管理验证和加密方案,并保管相关的密钥,同时使用SaaS软件提供的解决方案保持接近于满的工作效率。也有一些针对云端文件存储以及同步功能(比如Box)的新型解决方案,它们会增加加密、数据丢失防护,细粒度报告功能。”
对自带软件办公(BYOD)环境,他推荐那些可以将公司数据封装起来,并防止数据移动的产品,比如Bluebox。该软件会在特定的数据和应用周围建立可变的所谓“数据花园”,并实现公司规则。
端点检测与响应
尼尔·麦克唐纳德是加特纳咨询的副总裁、著名分析师,他建议客户首先抹去微软设备上的管理员权限,然后购买端点检测与响应(Endpint detection and response,EDR)解决方案,该方案会持续监控并分析端点的状态,以确定系统是否受到入侵。麦克唐纳德强调,EDR解决方案提供持续可见性,如果和持续性分析工具结合,可以帮助公司缩短检测到攻击的时间。
“对服务器负载而言,我会将反恶意软件扫描替换成某种应用控制解决方案,以防止任何未授权代码的运行。它会保证大多数恶意软件远离系统,还会加强可操作性,并改变管理卫生环境。”
火眼Netflow Data
维吉尼亚科技(Virginia Tech)的IT安全实验室主管、安全官员兰迪·马乾尼认为,对静态外围防御而言,最大的漏洞在于多数组织都更关注流入流量,而不是流出流量。持续性监控也被称为网络安全监控或挤压检测(Extrusion Detection),它主要关注流量和日志文件分析。兰迪推荐火眼公司的恶意安全软件检测工具,Netflow Data(提供关于内部设备是否受到入侵的高价值信息),以及类似ARGUS Software、SiLK(互联网级别知识系统,CERT网络情景感知团队开发的流量分析工具集合),以及Bro网络安全分析器。
高级安全分析
约翰娜·蒂尔·约翰逊是Nemertes Reserch公司的首席执行官,她推荐了高级安全分析工具,该工具会对那些可能意味着数据泄露、遭到入侵、漏洞的情景作出实时分析,更重要的是,还会作出预先反应。ASA融合了安全事件管理及监控(SEIM)与通常基于大数据技术的分析性功能。
该工具还包括了诊断与入侵探测系统/入侵防御系统。Johnson推荐的工具包括Agiliance、Blue Coat、Damballa、火眼、Guidance、惠普ArcSight、IBM、Lastline、LogRhythm、McAfee/Intel、Splunk。
团队工具
Forrester Research的主力安全风险分析师Rick Holland表示,“我推荐的最佳安全方案是团队工具。是的,我们确实有很多灵丹妙药;但我们真正需要的是那些为受到黑客入侵困扰的员工更多提供通讯、合作功能的工具。我们需要在那些可以让员工更快速反应的工具上投入资金。”
威胁情报
Frank Kim是SANS Institute的首席安全官,面对那些会绕过传统安全防御工具的高级威胁时,他相信那些能够探测攻击者以及陌生活动的安全能力更加重要。因此,威胁情报以及强大的信息共享是现代安全防御的重要一环。但这也需要高级分析以及挖掘内部及外部数据的能力。建设数据科学能力以智能分析大量数据可以让组织获取更多有价值信息,安全小组可以快速用到这些信息并作出反应。