Palo Alto Networks召開(kāi)媒體溝通會(huì)前一天雅虎被曝用戶資料遭竊事件,事件中5億用戶中槍,數(shù)量可謂嘆為觀止。
似乎不約而同,從Target數(shù)據(jù)遭竊開(kāi)始,大規(guī)模數(shù)據(jù)泄漏事故近兩年頻現(xiàn),涉及數(shù)量也在輪番疊高。這一起起事件亦暴露了企業(yè)安全防御所處的現(xiàn)狀,在攻擊手段日新月異的局面下企業(yè)安全架構(gòu)預(yù)算大多停留在幾年前的標(biāo)準(zhǔn),這就直接導(dǎo)致防御成本和攻擊成本的不均衡。 當(dāng)然,企業(yè)并非無(wú)動(dòng)于衷,確實(shí)也在不斷增加大量經(jīng)費(fèi)來(lái)平衡這一差異。然而現(xiàn)實(shí)是,企業(yè)被攻擊事件仍不斷發(fā)生,且在今后很長(zhǎng)一段時(shí)間內(nèi),企業(yè)首先要意識(shí)到的就是“被攻擊成常態(tài)”這一事實(shí),這與計(jì)算機(jī)能力的增加導(dǎo)致犯罪成本降低、次數(shù)更頻發(fā)、攻擊形式更為復(fù)雜多樣直接相關(guān)。
那么,基于此情境,怎樣才能更好地構(gòu)建企業(yè)安全架構(gòu),更好地防御威脅呢?
攻防失衡:企業(yè)需先樹(shù)立“正確的防御觀”
Palo Alto Networks召開(kāi)媒體溝通會(huì)前一天雅虎被曝用戶資料遭竊事件,事件中5億用戶中槍,數(shù)量可謂嘆為觀止。
似乎不約而同,從Target數(shù)據(jù)遭竊開(kāi)始,大規(guī)模數(shù)據(jù)泄漏事故近兩年頻現(xiàn),涉及數(shù)量也在輪番疊高。這一起起事件亦暴露了企業(yè)安全防御所處的現(xiàn)狀,在攻擊手段日新月異的局面下企業(yè)安全架構(gòu)預(yù)算大多停留在幾年前的標(biāo)準(zhǔn),這就直接導(dǎo)致防御成本和攻擊成本的不均衡。
當(dāng)然,企業(yè)并非無(wú)動(dòng)于衷,確實(shí)也在不斷增加大量經(jīng)費(fèi)來(lái)平衡這一差異。然而現(xiàn)實(shí)是,企業(yè)被攻擊事件仍不斷發(fā)生,且在今后很長(zhǎng)一段時(shí)間內(nèi),企業(yè)首先要意識(shí)到的就是“被攻擊成常態(tài)”這一事實(shí),這與計(jì)算機(jī)能力的增加導(dǎo)致犯罪成本降低、次數(shù)更頻發(fā)、攻擊形式更為復(fù)雜多樣直接相關(guān)。
那么,基于此情境,怎樣才能更好地構(gòu)建企業(yè)安全架構(gòu),更好地防御威脅呢?
攻防失衡:企業(yè)需先樹(shù)立“正確的防御觀”
首先需要樹(shù)立“正確的防御觀”。據(jù)Palo Alto Networks大中華區(qū)總裁徐涌介紹,在攻擊和防御失衡愈發(fā)嚴(yán)重的節(jié)奏下企業(yè)安全防御應(yīng)該從“提高攻擊成功率的成本”著手,“提高被入侵后拿走(泄漏)數(shù)據(jù)的成本”。
在其看來(lái),新的安全防御策略應(yīng)隨著攻擊形勢(shì)和企業(yè)業(yè)務(wù)做出相應(yīng)變化。從防火墻的部署來(lái)看,從傳統(tǒng)的4層墻轉(zhuǎn)向7層墻;需改變?cè)邪踩軜?gòu)暗箱操作的特點(diǎn),使其具備可視化;化原來(lái)的單點(diǎn)防御為整體防御,化單兵單墻防御為全球一體的防御;通過(guò)快速和自動(dòng)的防御體系應(yīng)對(duì)‘被攻擊成常態(tài)’的局面;正視內(nèi)網(wǎng)的不安全性,采用零信任的安全架構(gòu);最后安全并非一家能夠玩轉(zhuǎn),需要各方攜手打破行業(yè)壁壘,構(gòu)建更好的企業(yè)聯(lián)盟。
在企業(yè)安全架構(gòu)中,如CISO直接報(bào)告給CEO/董事會(huì),該企業(yè)的安全能力會(huì)直接提高,因?yàn)榘踩巡辉偈枪铝⒌膯?wèn)題,而是涉及企業(yè)運(yùn)營(yíng)的方方面面。據(jù)調(diào)查顯示,在北美地區(qū)CIO平均每天要使用的安全工具為69個(gè),這其中涉及來(lái)自不同提供商的不同工具,這對(duì)安全的自動(dòng)化提出了挑戰(zhàn),而自動(dòng)化恰是解決未來(lái)攻防失衡的關(guān)鍵所在,所以能用計(jì)算機(jī)解決的都不是事兒。
攻擊者挑軟柿子捏:如何構(gòu)建正確的安全架構(gòu)?
安全的重要性體現(xiàn)在事故發(fā)生時(shí),所以在安全上做投資常是費(fèi)力不討好的,短期投入回報(bào)比并不明顯,但這并不意味著企業(yè)可以放松對(duì)安全的重視。
事實(shí)上,攻擊者并沒(méi)有足夠的耐心從事攻擊,跟某個(gè)防御系統(tǒng)過(guò)不去,總會(huì)尋求更為容易攻破的下手。從之前一起大型數(shù)據(jù)泄漏事故來(lái)看,攻擊者先是將矛頭對(duì)準(zhǔn)了香港和新加坡,受阻后轉(zhuǎn)向了美國(guó),并成功實(shí)施攻擊。
這再次強(qiáng)調(diào)了提高攻擊成功門檻的重要性,那么如何構(gòu)建一個(gè)正確的安全架構(gòu)呢?據(jù)Palo Alto Networks中國(guó)區(qū)技術(shù)總監(jiān)程文杰講述,企業(yè)可從這三方面入手:減少攻擊途徑、阻止已知威脅、識(shí)別并阻止未知威脅。
首先應(yīng)用可視化,減少攻擊途徑。企業(yè)應(yīng)建立網(wǎng)絡(luò)流量的可視化分析并阻止未知流量;實(shí)施基于應(yīng)用和用戶的訪問(wèn)控制策略;阻止高危應(yīng)用中的危險(xiǎn)文件類型;部署與風(fēng)險(xiǎn)對(duì)應(yīng)的終端保護(hù)策略。
其次預(yù)防已知威脅。企業(yè)應(yīng)阻止已知的漏洞攻擊、惡意軟件和C&C流量;阻止對(duì)惡意或釣魚URL的訪問(wèn);掃描SaaS應(yīng)用中的已知惡意軟件;阻止終端商的惡意軟件和漏洞利用。
最后也是最具挑戰(zhàn)最為關(guān)鍵的地方——預(yù)防未知威脅。企業(yè)要能夠檢測(cè)、分析文件及URL中的未知威脅;在整個(gè)阻止中自動(dòng)更新對(duì)未知威脅的識(shí)別和防御能力;建立積極的威脅防御和緩解機(jī)制;在終端上阻止未知惡意軟件和漏洞利用行為。
授人以魚不如授人以漁,安全技術(shù)具有替代性,企業(yè)不能太過(guò)依賴某項(xiàng)技術(shù),而是從業(yè)務(wù)出發(fā),著手構(gòu)建一個(gè)完善的安全架構(gòu),聚沙成塔,以在攻防之戰(zhàn)中獲取主動(dòng)權(quán)。