對于安全從業(yè)者而言,相信大家都不陌生“一分預(yù)防勝過十分治療”這句話。話雖然這樣說,但在我們已經(jīng)貫徹實施了二十年的打補丁、防火墻等預(yù)防工作理念,其結(jié)果又怎樣呢?
安全產(chǎn)品成為黑客攻擊面
就在剛剛過去的這一個月中,賽門鐵克發(fā)布了好幾個補丁,都是為了修補其終端保護(hù)產(chǎn)品(SEP)的漏洞。這些漏洞可以被用來提升權(quán)限,執(zhí)行任意代碼。也就是說,世界頭號防病毒平臺可以被黑客利用來發(fā)動攻擊,攻擊那些安裝了SEP的設(shè)備。
無獨有偶,去年8月賽門鐵克就曾經(jīng)修補過一系列的高危漏洞,包括認(rèn)證繞過、權(quán)限提升,甚至還有為數(shù)不少的SQL注入。雖然人們有理由指責(zé)賽門鐵克,畢竟一個重要的安全廠商連自己的安全都沒有解決,又怎么能夠做好對別人的保護(hù)。但同時,身為安全領(lǐng)域的專業(yè)人士,我們也知道,抵御黑客攻擊的安全產(chǎn)品反而被黑客利用來進(jìn)行攻擊,并不是非常罕見的事情。
卡巴斯基、Avast、趨勢科技、AVG、英特爾安全、ESET、趨勢科技、飛塔、思科等眾多耳熟能詳?shù)臍⒍拒浖⒎阑饓Ξa(chǎn)品,都曾曝出過可被黑客利用來發(fā)動攻擊的漏洞。進(jìn)一步思考的話,還有多少沒曝出的漏洞呢?而且,如果賽門鐵克,這個全球最大的獨立安全廠商都無法開發(fā)出沒有漏洞的產(chǎn)品,那些非安全領(lǐng)域的企業(yè)又能好到哪里去呢?
漏洞,換個一角度來描述,就是錯誤。上面說了這么多,其反應(yīng)出來的實質(zhì)問題就是:
軟件是人開發(fā)的,而人是避免不了錯誤的。
談?wù)勛赃m應(yīng)
近年來,安全從業(yè)者面臨的一個嚴(yán)重現(xiàn)實就是攻擊面增長的太快、太復(fù)雜,大量的新應(yīng)用上線部署,意味著新漏洞的出現(xiàn)和新的被攻擊的機會,因此針對性的防護(hù)封堵越來越難以匹配,反應(yīng)到現(xiàn)實當(dāng)中,就是發(fā)生的安全事件越來越多,影響程度也越來越嚴(yán)重。因此我們應(yīng)該反思,我們是否過于強調(diào)了修補和預(yù)防?是否能夠有一種更加綜合有效的方法來做好安全工作?
一些領(lǐng)先的安全機構(gòu)或企業(yè)開始強調(diào)檢測、感知,基于威脅情報去主動地阻止并破壞網(wǎng)絡(luò)犯罪分子的整個攻擊生態(tài),Gartner將這種理念稱之為“自適應(yīng)安全架構(gòu)”。它有以下幾個關(guān)鍵點:
首先,我們需要對企業(yè)資產(chǎn),包括企業(yè)內(nèi)外的IT設(shè)備,有一個持續(xù)的“可見”。忘記應(yīng)急響應(yīng)吧,持續(xù)響應(yīng)才是王道。我們不僅要對企業(yè)的現(xiàn)在了如指掌,還能在需要的時候?qū)ζ髽I(yè)的過去進(jìn)行回溯。因此,實時的檢測監(jiān)控,以及對相應(yīng)信息的存儲是成就這種能力的關(guān)鍵。
第二,增加對數(shù)據(jù)分析的投入。補丁、防火墻等預(yù)防工作是被動的是名單驅(qū)動的,而發(fā)現(xiàn)未知威脅需要前置的問題通知。數(shù)據(jù)分析技術(shù)近年來已經(jīng)發(fā)展的很好,可以在識別惡意活動方面發(fā)揮巨大的作用。
第三,一體化和自動化。安全人員的缺乏和業(yè)務(wù)的復(fù)雜,提出了自動化和一體化的現(xiàn)實需求。我們應(yīng)該整合各方面的安全工作,并精心選擇安全工具,力圖用更少的時間做更多的事情。
最后,我們要利用這些檢測、分析、可見等能力去了解攻擊者,了解他們的方法和動機,以更好的預(yù)測他們下一步可能會采取的行動。換句話說就是,使用從之前攻擊行為中獲得的情報,來判斷和預(yù)防下一次的攻擊。
專注于打補丁、防火墻等傳統(tǒng)防護(hù)手段的安全戰(zhàn)略是一件費力不討好的事,是愚人做的事。而包括檢測、預(yù)判和持續(xù)的可見及響應(yīng)能力,才是安全防護(hù)工作的方向和未來。
京公網(wǎng)安備 11010502049343號