信息技術的步伐正在挑戰傳統觀念:到底IT是什么?如今這個時代信息安全是什么概念?舉例來說,新的數據中心技術,如虛擬化、軟件定義網絡[SDN)、面向服務的交付模型、以及云計算等都已從根本上改變了典型的IT基礎設施,即從一組被企業控制和定義的資產,變成了能夠在IT部門之間不斷往返波動的資源。
這些改變的發生,就如同寒武紀時代爆發了新的網絡生活方式:移動設備、平板電腦、傳感器、家用電器、監測系統、內容訪問設備和無線終端等。在這些設備上運行的應用程序范圍從娛樂服務到對我們社會和經濟基礎設施至關重要的應用功能。以這些設備的增長來推算,我們預計世界設備聯網人口的數量將從今天的100億增長到2020年超過500億。
從安全的角度來看,這些包括包括網絡設備擴張在內的互聯網變化,導致攻擊面的相應增加。現在IT運維的使命已遠非保護大量已知和封閉的IT邊界,而是必須準備抵御任何黑客能夠創新出來的針對人類網絡設備安全的威脅。顯然,如果不是擴建到更大的范圍,而是僅僅使用已經建立的安全措施將是遠遠不夠的。
簡單地說,我們需要另辟蹊徑,重新思考網絡安全的概念。
一個經典策略和兩個新策略
以上這些威脅聽起來很勢不可擋,因為這些包含了對資產和財產的損害以及對利用信息技術的人們的傷害。然而,我仍然樂觀地相信依然有應對的策略。具有諷刺意味的是,其中一些舊的策略又變成新的方法,主要有三點:
做好基本工作
這包括及時對軟件進行修補、用戶身份管理、網絡管理,來消除在你基礎設施上的任何黑暗空間。主要目標包括減少可能的黑客攻擊面并在適當授權的原則基礎之上建立資源訪問路徑。甚至只是更好的修補都可以減少70%的攻擊面。執行資產庫存的企業往往驚訝于之前發現了多少接入其網絡的非法系統。
這種基于基礎的策略聽起來可能很普通,但當考慮到如今IT運營必須保障的設備和系統之多樣時,這會是非常搶手的。一個匯集了最新的強密碼、聯合身份、權限管理和異常行為檢測技術的復雜身份管理程序,在短短幾年前還是不可能實現的。但它能改善安全團隊預防、預見安全事故的能力。
營造假象
有很多方法可以做到這一點。你可以通過先改變地址、基礎設施拓撲和每天的可用資源,來讓你的基礎設施成為一個移動的目標。一位活躍分子的虛擬化方法可以建立和徹底清除資源。SDN技術可以將欺詐過程進行虛擬化,同時精簡構建安全管理和控制網絡結構特性的過程。簡而言之,盡你所能地防止對手看到兩次相同的基礎設施。
你還可以在你網絡上設定蜜罐和虛假的程序,這能夠消耗對手大把的時間,把他們的關注點從真正的資產數據中轉移出來,誘使他們進入偽造的知識產權,或讓他們跌跌絆絆撞到警報,來告知你他們正存在于你的領域。最先進的是,這些技術可以動搖對手的信心及攻擊能力,增加他們畏懼被抓獲、暴露和被起訴的焦慮感。
多收集、關聯并分析可操作的數據
這種策略十分重要,因為它意味著網絡治理模式的轉變,當攻擊正在發生時能夠迅速徹底地檢測和擊敗攻擊和入侵。你可以從數據中尋找攻擊指標(IoCs):異常指標設備或用戶行為、來自或者流向已知地址的網絡流量及其他舉報。數據分析范圍從基礎設施,到超越基礎設施的包括當地遙測信息和情報等信息,以及不符合正常活動模式的數據流量。
改變精神意志很關鍵
從前,我們認為網絡安全是維護IT邊界并堅固對資產的攻擊防御。新模型需要假定如果人、事及業務流程沒有受到攻擊,他們會很快起作用。建立起來的安全工具和產品,如防火墻、安全設備、或反惡意軟件的軟件已經做好了阻斷已知威脅的準備,能夠讓我們通過基本的防御來自由地探測、識別和控制并管理這些威脅。
人們已經越發明白,最危險的威脅通常安靜迅速地做自己的工作,然后消失。這種類型的威脅通常會在幾分鐘、幾小時或者幾天內造成嚴重損害。相比之下,太多的安全團隊需要幾天、幾周、甚至幾個月的時間來發現和糾正這種突兀的威脅。而這種時滯是非常糟糕的。
我們也需要轉變問責制,來定義功效并改變我們打破所擁有現狀的意愿…否則,如果我們今天想繼續從既有的東西中獲得更多,是不可能的。
本文推薦的策略做了三件事,讓對手的生活更加困難:
· 減少攻擊面和通過基礎滲透的漏洞攻擊;
· 轉移恐懼、不確定性和并制造攻擊者的疑惑,以增加其焦慮感;
· 減少威脅登錄基礎設施、檢測和處理威脅之間的延時
雖然網絡威脅挑戰重重,但是新技術、網絡情報和網絡安全的全新思維卻給了我們一個努力的機會。
京公網安備 11010502049343號