网络攻击的风险每年倍增,CIO 和 CISO 是否应重新思考他们组织的 IT 安全方法?重点放在攻击的预防(事前)?还是遏制(事中和事后)?
说到对抗网络犯罪,重点往往一边倒向预防。
但仅去年一年,针对企业的攻击规模就增加 122% ,充分暴露出公司企业在对抗网络犯罪上的艰难处境。一旦有攻击发生,重点很快就会转向遏制攻击,并确保损害尽可能小。但企业该如何有效做到这一点呢?
发展出全面的方法
网络犯罪威胁的规模和复杂度均在增长。没有哪种特定方法能够根除所有风险。
网络态势的不断发展和人们对技术的日渐依赖,意味着数据防护是所有公司、行业和地区的关注重点。
仅偏向遏制或仅偏向防御,都不会是成功的网络风险管理方案。
企业所具备的及时检测并有效响应攻击的能力,对缓解潜在的金融、声誉或合规灾难起到了至关重要的作用。
无论如何,不能仅仅因为市场偏向这个方向,就错误地从防御攻击完全转向管理攻击。
企业应采取全面的网络威胁方案,来提供可以抵御潜在的商业诈骗或网络犯罪所需的全部对策。
这些安全对策需要根据企业风险的优先级排序,并考虑纳入公司的业务风险范畴。
其中一些对策可以减轻网络威胁概率,比如说加密和强身份验证等 “防御控制措施”;或者减少攻击的商业影响,比如说实现安全运营中心或投保网络保险等 “遏制控制措施”。
推动安全策略的另一个途径,是实现基于风险的网络运营模型。为此,企业必须从董事会和高级管理层开始定义清晰的治理。
良好的安全是层次化的,公司的各个方面都需要考虑安全。
网络风险管理中涉及的不同实体之间需要定义良好的角色与职责隔离(财务、风险、运营、HR、IT、CISO/CSO、合规),安全投资也应与公司的风险胃纳相一致。
仅偏向遏制或仅偏向防御,都不是协调一致的成功网络风险管理方法。
遏制攻击
网络弹性取决于攻击预防与缓解。比如说,封锁勒索软件很重要,但公司应总是留有备份以防万一。
遏制攻击的步骤与攻击类型和企业规模相关。攻击性质不同,遏制攻击所采取的步骤就不一样。遏制数据泄露的步骤可能涉及到限制访问权限、实现密码策略,或者通告受害者。而想要阻止入侵,企业应该想象最坏场景,并为之做出规划。
作为其中的一部分,网络安全必须是层次化的。边界防御和员工培训就是预防性安全措施。限制用户访问、跟踪网络与用户行为归属缓解措施,备份和网络保险则是灾难恢复的一部分。
随着网络罪犯不断开发绕过安全系统的方法,新的防御方法和解决方案也在不断涌现。零信任就是旨在强化身份验证过程的安全模型。但是此类解决方案真的能够提供所需的安全吗?
零信任就是旨在强化身份验证过程的安全模型。
零信任较适合某些环境。访问与边界控制更为棘手的混乱环境就更适合采用零信任模型。但这些环境中终端用户的便利性与速度就会受到一定影响。
成功遏制攻击也归结于确保能够更早检测并更有效防御。攻击不可避免,假定总有一天能够消除攻击的想法太过天真。
企业网络安全的总体状态太过糟糕,企业应首先专注于提升自身安全水平,因为罪犯总是追逐最容易得手的目标。
保护 RDP(远程桌面协议)之类的简单步骤就能立即降低公司遭遇攻击的可能性;而用户账户策略审查的用户教育则可能是长期项目。
更快检测攻击需提升威胁研究,尤其是加速文件与 URL 分析的时间。
URL 和文件将仅活跃很短的一段窗口时间,所以安全公司需快速反应且专注于使系统置于不仅安全还能提供恰当报告的管理上。说到攻击检测,被太多细节淹没是个巨大的障碍,所以智能排序所报告数据的解决方案非常重要。
最小化风险
采用零信任网络访问 (ZTNA) 方法有助于最小化遗留系统相关风险,更能成功遏制攻击。
ZTNA 以其软件定义边界方法极大改变了访问模型,抛弃了供用户入网的经典 TCP/IP 连接方法。
对云开放,却不同时致力于现代安全技术,制造出一种虚幻的安全感。
ZTNA 不是将用户置于整个企业网络上,而是建立从应用到用户的出站连接。由于该方法是基于策略的,仅有经授权的用户能够获得其应用的访问权。而由于该零件模型不再依赖互联网,也就不存在互联网攻击途径。
而且,该模型实现相对直观,管理员工作更为轻松,让企业不再担心 VPN 系统带来的风险。另外,一旦用户授权策略建立,企业便无需再担忧未修复硬件系统的风险因素。
新威胁不断涌现,软件定义边界的反向隧道模式不再安全,企业最好能够重新思考并审核自身远程访问企业网络或云端的方式。
面向云端开放,享受其带来的灵活性,却不同时致力于现代安全技术,会制造出一种虚幻的安全感。这种新的基础设施中,企业网络和多云环境里都有应用存在,需要新的安全模型。
令人遗憾的是,网络犯罪不仅真实存在,还在蓬勃发展,APT国家队是网络犯罪不断扩张的动力之一。而且,攻击者发起网络犯罪的原因多种多样,甚至自以为无足轻重没人感兴趣的企业都可能被当成目标。
尽管实现恰当的安全控制措施以阻止网络攻击非常重要,但各类网络罪犯总在找寻新的途径绕过这些安全措施。所以企业还需加强自身遏制攻击的能力。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】