網絡威脅就像感冒或者其他什么感染性病毒,誰也無法避免。但這是生活的一部分,它們就在那里,伺機給你來上一下,讓你的生活變得有那么點點艱難。
同時,你又不能以犧牲業務發展的方式全情投入到防范潛在風險上。你必須在不干擾現有業務,不妨礙未來發展的前提下保護好自己。這意味著,你得采取成熟的風險管理方法,明智地分配預算,讓自己的IT團隊有余力支持新工作方式的同時還能為公司提供最大限度的防護。
了解攻擊鏈
在打算與風險共存之前,你得先了解面對的風險到底是什么樣子的,描繪出風險演變成攻擊的可能路線圖。老牌安防公司洛克希德向軍方尋求答案,借鑒了軍方“殺傷鏈”的概念,也就是最初用于描述運動攻擊結構的概念。
由Websense、石軟(Stonesoft)與雷神(Raytheon)新組成的安全公司Forcepoint描述的“殺傷鏈”(Kill Chain)則與洛克希德略有不同:
Forcepoint 七步殺傷鏈
1. 偵察:攻擊前期,惡意行為人將收集盡可能多的情報,摸清目標網絡和組織架構情況 -->
2. 誘騙:洛克希德描述為“武器化”,但Forcepoint認為這一階段的特征在于誘餌的創建,比如電子郵件、社交媒體帖子,或者其他貌似合法鏈接的發布內容 -->
3. 重定向:洛克希德的殺傷鏈中稱這一步為“投放”。Forcepoint則強調,放出的誘餌會將用戶重定向到包含了漏洞利用鏈接的頁面上去 -->
4. 漏洞利用:這一階段,漏洞利用工具包將被用于掃描目標系統的弱點,謀取進入目標系統的權限。網絡釣魚攻擊者可能會獲取到用戶憑證。惡意攻擊載荷也許會勾取到未打補丁軟件產品中的某個漏洞 -->
5. 安裝/釋放文件:漏洞利用工具包找到系統弱點,釋放惡意軟件,感染系統,然后搜尋可提取的數據 -->
6. 命令與控制:惡意載荷回連攻擊者,創建控制信道,讓攻擊者得以借由控制信道操縱惡意軟件,執行最終命令 -->
7. 在目標上的動作:索錢環節。攻擊者可利用惡意軟件在目標系統里為所欲為,包括盜取數據、偷取知識產權,或者竊取內部資源等等。
區分不同種類的攻擊
將第二階段描述為誘騙,并采取靈活的應對措施,可以解決洛克希德模型中一個廣受詬病的問題點——只注意到惡意軟件而排除了網絡釣魚攻擊。不是所有的威脅都會走完所有步驟,而且攻擊階段有可能會循環往復,大大延伸了殺傷鏈7步過程的內容。這些步驟為網絡罪犯提供了成百上千種在相當長的時期內創建執行APT的方法。
安全從業人員想保護自家公司不受威脅侵害,就得從漫天方法中找出針對性的那幾個,跟大海撈針,還是撈一把針,也差不多了。他們必須識別不同類型的攻擊,在必要的地方區分開來,或者找出單個來看不顯眼,但結合上下文就昭示著大事件的那些小事件之間的聯系。
想弄清當前狀態,工具是必需的。事件關聯引擎這種好工具是必備品,但它還得用在尋找正確的事件上。
高級安全團隊能走得更為深入,將工具層當做其他統計分析工具的數據源,對網絡正常行為進行建模。這將有助于安全團隊更容易地檢測異常行為。但這不是一蹴而就的事,模型成熟度是需要訓練的。
通觀全局,事無巨細全盤了解,有時候是難以完成的任務。總有些地方是觀察不到的,總有些小事件無法關聯到一起。
安全團隊的預算優先權
如果同時關注所有事件是不可能完成任務,那么搞個分診臺可能是最經濟有效的長遠之計。有頭腦的公司會給自己跨越攻擊和技術的網絡安全運營設定優先級,好鋼用在刀刃上。也就是弄個鏡頭來幫自己聚焦到真正重要的事務上。
先從將你的安全活動框進一個實際的安全模型中開始,讓它們符合一個真正專注于IT安全的框架。美國國家標準技術研究所(NIST)安全框架是首選。還有一些政府工具和私人實踐操作可以幫助公司企業將其他專業領域的框架映射到NIST中。這里說的其他框架包括:從風險管理角度出發的COSO,國際信息系統審計協會ISACA用來進行IT管控的COBIT,存儲信用卡數據的PCI-DSS,美國醫療業務的HIPPAA,美國聯邦政府安全評估和檢測標準方法FedRAMP。
所有這些都需要外部控制器接口(PCI)映射到NIST框架中。PCI能耦合所有第三方要求和內部業務需求,讓你可以明確地選擇放置安全控制的地方。這一做法的重點在于理解該怎樣審慎而明智地將你的安全工具預算發揮最大效益。一個好的風險評估,結合對安全工具特點的理解,能幫助首席信息安全官(CISO)理順安全支出的優先級。
但長期來看,只做到這些或許還不足夠。攻擊者數量永遠比防御者多,資金支持也更雄厚。這是一場越來越難以贏得的貓鼠游戲。依靠各款單項最佳產品的組合會引發警報和網絡噪聲的大爆發,只會增加復雜性而不是讓你的安全態勢更明朗。在非常現實的意義上,安全行業目前處于一種只見樹木不見森林的境地,不能及時提供可靠、可行的數據供IT人士更快地抓住威脅。一些網絡防御提供商已經意識到了這一點,正在轉向用更全面的方法來更快更準確地從噪音中分離出真正的威脅來。
在一些低風險的領域,可用為期1年的員工培訓對付過去,然后再推出技術解決方案進行強化,提供更多的防護。
利用自動化分析打磨直覺判斷
人的因素是很重要的。工具可以提供合適的數據,但如何解釋它們仍然需要敏銳的眼光。團隊中有那么一兩個很棒的分析師簡直價值千金。隨著安全實踐不斷進化發展,分析師將會更多地利用自動化和分析補完他們的直覺。
但要達到這么復雜的水平,外部威脅數據和內部工具的結合不能少。我們將見證更多的信息共享。美國的ISACS已經讓信息安全威脅共享變得更容易了。自動化、結構化的信息共享也正在興起——采用Facebook家威脅交換(ThreatExchange)這樣的API(應用編程接口)驅動的服務,以及描述新興 安全事件的分類法和協議(STIX/IODEF/RID)。還有VERIS事件記錄語言——能讓我們在事發后吸取經驗教訓的語言。
京公網安備 11010502049343號