近20年來,大多數企業對網絡安全采取了古老的“吊橋和護城河”的方法,即把所有企業流量匯集到網關,同時通過防火墻阻止所有不良流量。現在這種方法怎么會可行……
根據SafeNet公司2015年數據安全信心指數(DSCI)報告顯示,在IT社區內,企業對網絡外圍安全有效性的感知和現實之間的差距在不斷擴大。該報告指出,87%的IT決策者認為其網絡外圍安全系統可以有效阻止未經授權用戶。然而,與此同時,單在2014年,超過1500起數據泄露事故共導致10億數據記錄遭泄露,這比2013年的數據泄露增加了49%,被盜或丟失的數據記錄增加了78%。這些數據很瘋狂:企業在反復做同樣的事情,卻期待不同的結果。
現在,虛擬化、公共云和BYOD等最新趨勢進一步惡化了這個問題,因為這些趨勢顯著擴大了網絡外圍。隨著U盤、Wi-Fi和VPN連接的普及,我們面臨的威脅越來越大,這也不難理解為什么單靠外圍防御會失敗。
2015年Verizon數據泄露調查報告提供了新的見解。在60%的情況中,攻擊者可以在數分鐘之內入侵企業,而發現數據泄露所花費的時間卻在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面讓我們看看過去的Verizon數據泄露報告中對外圍防御及其失敗原因的見解:
· 62%企業花了幾個月時間來發現數據泄露
· 與網絡入侵檢測系統、基于主機入侵檢測系統和日志審查相比,最終用戶可更有效地檢測到數據泄露
· 對于安全意識培訓不要太樂觀,最終用戶只負責4%的檢測工作
· 托管安全服務提供商只發現不到1%的數據泄露
筆者最喜歡2013年Verizon數據泄露報告中寫道的話:“我們必須接受這個事實,即沒有任何障礙是堅不可摧的,檢測/響應是極其重要的防御線。我們不能再將這作為備用計劃,而應該使之成為計劃的核心部分。”
為什么網絡外圍安全會行不通?
為了阻止攻擊者,企業必須修復所有漏洞,因為攻擊者只要找到一個易受攻擊的機器、應用或用戶即可開始攻擊。這也難怪企業會不斷遭遇數據泄露,導致數百萬甚至數十億美元的損失。即使是大型企業也會遭遇數據泄露事故,盡管他們擁有很多的安全預算、很多員工、一流的產品和高端服務提供商。那么,企業和安全專業人員應該如何抵御當今資金雄厚的意志堅定的攻擊者呢?
首先企業必須接受這個事實,攻擊是不可避免的,無論網絡外圍安全多么好。其次,該行業需要重新定義在與攻擊者的戰斗中什么是“勝利”。傳統來看,企業安全認為阻止攻擊就是勝利。但攻擊企業網絡只是殺傷鏈的一步;攻擊者還會在企業內橫向移動,發現有價值的信息,然后滲出這些信息。
入侵網絡并不是攻擊者的重點,竊取數據才是重點。企業不應該專注于發現攻擊者以及阻止攻擊者,而應該檢測攻擊者活動目標并迅速做出反應。基于這些目標來部署安全是贏得這場戰爭的唯一途徑。
在過去,防止攻擊者入侵就等于勝利,而現在阻止攻擊者取得成功才是勝利。
預防是理想,檢測是必須
攻擊者在使用U盤或魚叉式網絡釣魚電子郵件攻擊企業環境內的臺式機后,攻擊者會開始橫向移動到其他臺式機以尋找有價值的數據,那么,企業安全團隊能否檢測到呢?如果數據從環境內受感染的電腦轉移到基于互聯網的資產,安全團隊能否檢測?對于上面的問題,大多數企業的答案是否定的,因為大多數企業把所有的重點放在網關,而沒有在網絡內部署適當的工具來檢測橫向移動或數據滲出。然而,橫向移動和數據滲出也許是殺傷鏈中最難以被檢測的部分。新安全模式工具包括以下步驟和組件:
1. “可防御的安全架構”:FireEye公司首席安全戰略家Richard Bejtlich在他的著作《網絡安全監控之道》中介紹了可防御網絡架構的概念。根據Bejtlich表示,這種架構必須進行監控、清查和控制,并應聯合資產所有者和利益相關者為網絡制定適當的政策和程序。此外,該架構應可減小攻擊面、定期評估漏洞以及保持更新和修復。
2. 網絡安全監控:這不只是入侵檢測系統(IDS),它應該包括事件數據、會話數據、全部內容采集和統計數據。網絡安全監控不只是提供IDS警報;它還包含必要的背景和元數據以做出有關入侵的獨立決策。
3. 連續安全監控:安全和網絡管理員應該保留日志數據12個月,每15到60分鐘更換日志并每5分鐘傳輸日志到日志管理基礎設施。此外,他們應該每天6次自動分析日志。對更換的日志執行完整性檢查,并加密這些日志。
4. 部署攻擊指標(IOC):通過US CERT的工作以及Mandiant及其OpenIOC項目,收集和共享IOC的框架正迅速推出。企業安全團隊應該利用這些框架。通過使用定義的框架,企業可有效實現快速和廣泛傳播真正的攻擊數據。而安全產品現在已經開始利用這些數據來搜尋環境內的攻擊活動。
京公網安備 11010502049343號