安全威胁正在不断升级,应对这些安全威胁需要企业信息安全专业人员及其观念也要“升级”。
我们都知道阻止不良行为者进入你的网络并不难,我们也都同意,应该对不同的用户群分配不同的权限级别。同时,我们也都认为,某些系统包含比其他系统更有价值的数据。那么,为什么我们似乎都不能完成这些事情呢?
事实证明,虽然安全概念很容易,但具体部署并不容易,看看最近接连发生的安全泄露事故就知道。索尼、家得宝、Target、Skype和Neiman Marcus等公司都遭到攻击,医疗保险公司Anthem和Premera也一样。
数据泄露事故的成本
这些攻击给企业带来严重影响,这些企业的品牌和声誉受到影响,消费者的身份和财务数据的隐私性及安全性也遭到破坏。而这些都会让受影响企业遭受严重的财务损失,有些企业可能甚至面临破产。
零售及金融服务行业并不是唯一面临风险的行业。在过去的20年中,网络攻击已经演变成更先进和更具破坏性的攻击,有时候还会瞄准关键基础设施。例如,针对伊朗核计划的攻击让我们注意到,网络不仅受到先进黑客团体的攻击,也受到民族国家的攻击。即使是表面无法从外部访问的系统也可能受到攻击。面对这个问题,我们不禁会想,IT专业人士发展最快的专业是不是网络安全?
安全公司IronNet Cybersecurity调查称,2014年世界各地的公司花费约3640亿美元来应对安全泄露事故。这是一个令人惊讶的数字,而且这个数字每年都在增长。
安全泄露事故未被检测
美国联邦调查局前局长Robert Mueller在谈到当前安全状态时称,“只有两种类型的公司:已经遭受攻击的公司,即将遭受攻击的公司。”笔者将后面一部分改为:“已经遭受攻击的公司,以及还不知道他们已经遭受攻击的公司,”因为大多数公司没有足够的安全监控基础设施。
例如最近遭受攻击的医疗保险服务提供商CareFirst公司,安全公司Mandiant在帮助该公司保护其系统时发现了这个攻击。人们不禁要问,还有多少保险公司和医疗机构不知道他们的安全状况。
根据2015年Mandiant M-Trends报告显示,在系统遭受攻击后,攻击者在系统中保持不被发现的时间是205天。更糟糕的是,69%的数据泄露事故是由外部实体发现。也就是说,这些公司本身并没有发现自己已经遭受攻击。显然,检测是一个挑战。
需要真正的网络安全领导
直到最近我们才发现这个问题的部分原因,在大多数企业的决策者根本没有意识到他们所面临的真正威胁。对于他们来说,网络安全只是审计报告中的各种复选框,是的,我们有防火墙,是的,我们运行着杀毒软件,然后就没有然后了。多年来,“设置后就忘记”是很多企业的做法,而且现在才开始改变。首席信息安全官的职位已经开始普及,这个职位通常拥有与IT运营的CIO[注]相同的运营监督和权威。这种变化正在改变企业处理信息安全的方式。
防火墙和隔离的DMZ已经不再够用,杀毒软件或其他传统保护技术也不再可行。因为,尽管这些标准做法和基本的监控在过去可行,但现在攻击者会长期潜伏在系统中,窃取敏感数据。不仅检测是挑战,防御也是挑战。
如何防止数据泄露事故
现在很多攻击都是通过社会工程来执行,例如让用户点击电子邮件中的恶意链接,对此,培训成为防御战略的重要部分。而我们在这里列出的大多数攻击都使用有效登录凭证来执行攻击,攻击者未被发现是因为他们在基于角色的访问控制(RBAC)系统的范围内进行操作。如果我们固守旧观念,认为网络内的威胁没有外部威胁那么严重,那么我们就已经输了。威胁可能主要来自外部,但在现在的环境中,攻击者并不会破门而入。
现在处理网络安全的最好方法之一是获得对网络的可视性。如果你只是监控选择的流量或服务器,或者检查系统记录数据,这是远远不够的。我们需要让网络可以监控几乎一切信息,如果你不能看到所有信息,你就无法作出反应。
更高和更实惠的带宽、更好的交换架构、更强的计算能力、更快和更大的存储,让企业的监控工作变得比以往任何时候都更加艰巨。但是现在并不是不可能对网络中的所有流量进行捕捉和实时分析,以及存储用于未来分析。当然,你也不可能永远保存所有这些信息,除非你有无线的政府资助,不过,大部分大型企业还是可以存储一定的时间。
实时大数据[注]安全分析是高级威胁防御战略的另一个重要组成部分。按网络速度捕捉数据是一回事,但如果你依靠人眼来发现威胁和应对,这将无济于事。而这正是大数据分析的用武之地,大数据分析可以分析非结构化数据,获取你可能甚至不知道的信息。这也是信息安全历史的第一次,我们可以进行启发式安全威胁分析。
当然,我们仍然需要强大的报告引擎和人类监督,不过,企业应该将先进的分析工具作为第一道防线。威胁还会继续发展,攻击者还会找到新的攻击途径,这意味着,我们也必须迅速发展。