一個專注預防的安全策略不是十分安全的。CIO需要引導IT安全預算轉向攻擊檢測和響應方面。
讓我們把壞消息移開:你的企業有一個過時的IT安全預算方法,且幾乎肯定浪費寶貴的美元。那些錢本可以在阻止被攻破時產生影響的。
如果還有少許安慰的話,那就是很多企業正犯著同樣的過錯:把太多預算放在阻止攻擊,而不是投資在威脅檢測和響應上。幸運的是,變化的強弱法并不難懂。雖然IT安全預算的必要改變起初可能會痛苦,但最終會獲得更高的安全性。這就是我們本章將要討論的。
檢測和響應與預防同樣重要
從獲取對你的IT基礎設施未授權訪問,到找到敏感數據,每一個故意攻擊都想預防,是不可能的。從早期的破壞,像Heartland Payment Systems(哈特蘭支付系統)和Epsilon Data Management(艾普賽隆數據管理公司),到最近發生事故的Target(泛歐實時全額自動清算系統)、Home Depot(家得寶)和Sony Pictures(索尼影業),攻擊者一再證明總有辦法能通過幾乎任何一家企業的預防安全控制——防火墻、入侵防護、基于簽名的防病毒軟件、單因子身份鑒別,甚至是那些在信息安全和承諾上投入重金的行業(比如金融和零售業)的公司。
濃縮一下就是,好人常犯錯誤——配置錯誤的防火墻、未打補丁的Windows電腦或者隱藏在網絡釣魚電郵里的零日攻擊,壞人僅僅需要成功一次。防范技術幫助確保每個攻擊者無法進入,但是正如那些引人注目的事故所展示的,經驗老道的攻擊者仍然可以進入。
取而代之,企業應該慎重對待縮減預防開銷,轉向攻擊檢測和響應軟件產品。檢測和響應技術——網絡和終端威脅檢測、惡意軟件沙盒化、基于策略的白名單、能加速和減輕應急響應的產品。假設最壞情況,給企業提供新方法來鑒別、分類和區分異常現象的優先級,然后執行快速的隔離、補救和事后分析。
檢測和響應能力正逐漸成為信息安全體系的必要元素,與預防產品并肩作戰;越來越多的企業認識到了這個重要趨勢,但還需要加快速度。為了實現此目標,IT安全預算的配置必須改變。
IT安全預算:預防攻擊 VS 攻擊檢測
現在,正如我們確定的,只是預防的策略并不十分安全。那為什么企業仍然在這方面投入大量資金?根據產業估計,企業有史以來已經投入超過75%的信息安全技術預算在預防性技術方面。不幸的是,攻擊者將此視為機會。幸好,研究顯示投資百分比正在下降。然而,許多首席信息官要么無法充分認清預防安全技術正在縮減的效力,要么還沒能與他們的首席信息官們合作以落實看似必要的預算增加。
從某種意義上來說,是合乎邏輯的:預防性產品過去一直在用,供應商一直致力于提高他們的質量,而替代方案則是投資在更新的、較少被驗證的、也更難向C級別的主管們說明的技術。正因如此,以下事情變的要緊起來:首先,讓CIO理解開始顯著改變IT安全預算開銷方案的必要性。其次,不僅通過鼓勵他們的CIO們為轉變做計劃,還要啟動與高層執行長官們對話以鋪平道路來支持和促進該轉變過程。
轉變的另一個障礙是,雖然從理論上講是往檢測和響應上多花一些錢,但實際上這意味著在預防上減少投入。防火墻等仍然是需要的,且還要維護和升級。兩種趨勢幫助明顯:遺留和同時代的安全技術的會聚,以及遺留安全產品種類迅速的商品化。
舉例子,一種具有破壞性的供應商最新的中等下一代防火墻(NGFW),它也包含入侵預防系統(IPS)技術。它貢獻高達36Gbps的防火墻吞吐率和7 Gbps的IPS吞吐率,花費(低的5項價格,包括支持)卻只是頂級供應商的類似產品的六分之一。甚至在一兩年前,這都看似不可能實現,但是新技術的進步已經使一些供應商能提供便宜、高性能融合的IPS-NGFW產品。它創造巨大的成本節約機會,值得進入企業的挑選產品目錄。
另一個例子是在終端。一個擅長終端威脅檢測和響應(EDR)的供應商已經認識到,盡管基于簽名的終端反病毒產品很大程度上在持續地檢測危險病毒軟件上是無效的,但是很多企業仍然因為服從的原因需要這些產品。因此,供應商把杰出供應商的免費病毒探測軟件和他們自己的EDR平臺集成在一起,使顧客既能獲得集成預防和檢測技術的雙重好處,又能消除終端預防成本負擔。
不要忽略改變安全市場動力的機會
像這樣的新機會一直在涌現,CIO應該鼓勵首席信息安全官們要隨時留意減少遺留區域的開銷,以追求先進的安全技術。確實,變化的信息安全市場動力使發展的企業引人注目的減少在預防技術上的成本,輪流允許他們增加檢測和響應的開銷。
預算轉變的速度和規模因企業而異,沒有最對的百分比。要緊的是首席信息官們不僅要小心這場轉變,還要在他們企業內部積極培養該轉變。如此做法是一條漫長的道路,能減少企業成為毀滅性破壞的犧牲者的風險。
京公網安備 11010502049343號