虽然公司企业总是希望尽可能快地找出威胁,但理想也总是那么遥不可及。平均来看,驻留时间会持续数月,网络罪犯有充足的时间逡巡网络,抽取有价值信息,影响公司、客户以及雇员。
如果公司没有实时检测能力,没有为这些事件做好准备,那他们就总会处于特别脆弱的状态。对工具和策略进行重新评估是个不错的主意。以下是一些最常见的风险事件和能够帮助你成功应对的建议:
1. 物联网接入
任何联网设备都可成为黑客的切入点,随着越来越多的公司开始使用物联网设备(IoT),他们需要准备好识别新设备上的潜在攻击。
正在实现IoT的公司应考虑一下网络重设计,用强访问控制将IoT设备与其他内部网络进行隔离。可以部署异常检测技术,来给IoT网段和内部及外部网络的正常行为定个基线。该持续的监视将有助于发现不正常网络行为。
2. 合作伙伴
塔吉特百货的大规模数据泄露,就是黑客通过空调公司进入网络的结果。每当公司向新厂商或合作伙伴授予网络访问权的时候,他们都应当密切注意不正常活动。有那么几个步骤可以有效做到这一点。
首先,优先处理厂商/合作伙伴访问公司资源的管理和安全,勤于在合同终止时清除访问授权。另外,将厂商VPN访问限制在某已知IP段内,并在内部公布该IP列表。最后,部署分析工具以近实时地检测来自这些IP地址的异常行为。此外,利用第三方安全风险评级服务(SRS)(《安全领域新概念:安全评级服务的兴起》)不失为一个方便快捷的手段。
3. 合并与收购
将两个之前各自独立的公司网络合并起来是个危险的活计。黑客畅游网络的驻留时间可长达数月。如果有黑客已经侵占了公司A的网络,通过融合,你也就给了他公司B(及并购后的公司)的钥匙。
事前准备是规避此类场景的关键。在连接基础设施之前,对每家公司的基础设施都做个网络和安全评估。然后,部署分析工具来对网络行为定个基准,尽快对合并的网络进行数据记录以便能监视异常行为。
4. 新增物理位置
无论是新的公司大楼,还是零售门店,或者快餐连锁,跟着这些新位置而来的基础设施,都有可能引入新的漏洞。除了添加标准控制,公司面对这种状况还应该考虑部署分析工具,执行“种群分析”,以确定新位置在其网络和应用日志数据中展现的行为,是否异于其他地点的行为。
5. 修复或更新软件
复杂环境中,一个地方的改变,可能会无意地影响到其他某个地方。很多案例都显示,这可能产生新的漏洞,为黑客开启方便之门。
成功修复或更新,归根结底是使用良好的IT规程。比如说,确保跟IT安全团队沟通计划好的升级。然后,定义升级后勤勉期,在此期间对安全日志进行额外的详细审查。
6. 引入新硬件
这可能包含任何硬件,从服务器到新的移动设备。每当向网络中引入新硬件时,你都会遇到很多之前不知道的东西。而未知之物,就有可能伤害到你。
确保新服务器上运行的所有软件都打了补丁,是个不错的实践。检查与该硬件或软件相关的每个已知漏洞。与软件升级最佳实践类似,要跟IT安全团队沟通计划硬件升级事宜。然后,创建升级后勤勉期,对安全日志进行额外的详细审查——推荐使用自动化分析工具。
7. 员工入职
很多公司都会在同一时段迎入新人,比如说,在他们招聘并培训了新的大学毕业生的时候。这种情况下,他们就是在往公司网络中引入带有独特新行为的大量新用户,可能还有新设备。这些新用户增加了被黑或数据被泄的机会(无论有意还是无意地)。
面对该成长期的第一步,是强调公司策略和良好IT安全实践。确保定期强化这些策略和实践。然后,考虑部署用户行为分析(UBA)来为新用户建模,将他们的风险与公司其他员工组做对比。
8. 员工离职
裁员、倒闭或辞职之类的事件——尤其是在非自愿的时候,可能会引发乱流,增加出自熟知公司数据、网络和应用的员工之手的恶意行为发生机会。
这些敏感时段中,企业应强调身份及访问管理(IAM)。应勤于清除对所有资源的访问权,无论是公司内的,还是云端的。最后,定义更新后的勤勉期,使用自动化异常检测来执行对安全日志的额外审查。
【本文是51CTO专栏作者李少鹏的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】