面對(duì)成百上千，乃至成千上萬(wàn)的IT基礎(chǔ)設(shè)施漏洞，安全從業(yè)人員面前矗立著幾乎不可逾越的困難。其結(jié)果通常就是長(zhǎng)長(zhǎng)的駐留時(shí)間和異步迭代，阻礙網(wǎng)絡(luò)安全項(xiàng)目的有效性。這引出了一個(gè)問(wèn)題：是什么讓我們面對(duì)網(wǎng)絡(luò)攻擊無(wú)能為力？更重要的是，有什么新的方法讓公司企業(yè)從傳統(tǒng)領(lǐng)域?qū)＜夷Ｊ角袚Q到互動(dòng)迭代的協(xié)作模式？

Gartner2016年1月的文章《設(shè)計(jì)自適應(yīng)安全架構(gòu)抵御高級(jí)攻擊》中寫道，企業(yè)通常實(shí)現(xiàn)的是反應(yīng)式而非主動(dòng)式網(wǎng)絡(luò)安全，這是不對(duì)的。他們通常依賴已被證明沒(méi)什么效果的封鎖技術(shù)。

今日網(wǎng)絡(luò)安全面臨的最大問(wèn)題之一，是怎樣管理典型企業(yè)中各種IT安全工具產(chǎn)生數(shù)據(jù)的規(guī)模、速度和復(fù)雜性。從這些孤立的、不聯(lián)網(wǎng)的工具中收集來(lái)的反饋，必須進(jìn)行標(biāo)準(zhǔn)化和分析，緩解工作也是優(yōu)先項(xiàng)目之一。工具越多，工作困難度越大。最終，這些數(shù)據(jù)匯總和分析需要大量的員工梳理海量數(shù)據(jù)以連點(diǎn)成面，大海撈針，找出正確的結(jié)論。該工作可能耗時(shí)數(shù)月，而此期間攻擊者有可能利用漏洞抽取數(shù)據(jù)。

即便公司能招募足夠資源來(lái)進(jìn)行這些分析，他們對(duì)內(nèi)部安全情報(bào)的依賴也常常會(huì)導(dǎo)致緩解工作偏離正確方向——因?yàn)閮?nèi)部情報(bào)常缺乏活躍威脅及其所利用特定漏洞的上下文。沒(méi)有將外部威脅數(shù)據(jù)和業(yè)務(wù)關(guān)鍵性考慮進(jìn)去，安全團(tuán)隊(duì)就會(huì)補(bǔ)錯(cuò)漏洞。很多案例中都只響應(yīng)了過(guò)去的威脅，而不是基于預(yù)測(cè)性分析采取主動(dòng)方法來(lái)關(guān)閉攻擊者利用漏洞的窗口機(jī)會(huì)。

我們可以來(lái)看一下網(wǎng)絡(luò)安全項(xiàng)目有效性的限制因素。

一維視野

首先，很多公司，甚至安全廠商，都還是只關(guān)注網(wǎng)絡(luò)層，很少認(rèn)識(shí)到攻擊界面的其他方面，比如：應(yīng)用層。我們需要的，是威脅界面的整體視圖，將網(wǎng)絡(luò)敵人的策略和能力一一匹配上。威瑞森2016數(shù)據(jù)泄露報(bào)告證實(shí)了這一點(diǎn)。網(wǎng)絡(luò)層和終端只是威脅迷宮的一小塊拼圖。攻擊界面飛速增長(zhǎng)，安全實(shí)踐也應(yīng)隨之做出相應(yīng)調(diào)整。

CVE焦點(diǎn)

其次，大多數(shù)漏洞管理工具依賴通用漏洞和暴露(CVE)，可能導(dǎo)致資源和工作的錯(cuò)位。2014年出現(xiàn)的“貴賓犬(POODLE)”漏洞就是個(gè)很好的例子。這個(gè)漏洞被公布時(shí)，在國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)中評(píng)分為5.5。對(duì)漏洞進(jìn)行過(guò)濾分級(jí)，并只對(duì)CVE得分在7份及其以上的漏洞采取措施，是通常的安全實(shí)踐。采用這個(gè)模型，貴賓犬漏洞就會(huì)被忽略掉。只要早點(diǎn)發(fā)現(xiàn)它產(chǎn)生了成千上萬(wàn)的攻擊，企業(yè)本可以調(diào)整修復(fù)優(yōu)先級(jí)以解決貴賓犬威脅的。該事件證明了將內(nèi)部安全情報(bào)融入外部威脅數(shù)據(jù)情景的重要性。

為改善擊敗網(wǎng)絡(luò)攻擊的成功率，企業(yè)可以實(shí)施以下3條最佳實(shí)踐：

1. 鑒于合格安全人才的短缺，應(yīng)利用技術(shù)來(lái)自動(dòng)化盡可能多的安全運(yùn)營(yíng)工作。

2. 按國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)宣傳的持續(xù)監(jiān)視和診斷指南，來(lái)增加安全態(tài)勢(shì)評(píng)估的頻率。

3. 最后，擴(kuò)展防護(hù)措施以解決今日不斷擴(kuò)大的攻擊界面。這包括在網(wǎng)絡(luò)層和終端之外，將應(yīng)用、數(shù)據(jù)庫(kù)、云環(huán)境、物聯(lián)網(wǎng)等等都囊括進(jìn)來(lái)。

鑒于安全漏洞的龐大數(shù)量，單獨(dú)管理威脅似乎不再可行。既考慮安全態(tài)勢(shì)又考慮業(yè)務(wù)影響的整體的、基于風(fēng)險(xiǎn)的方法，可以減小攻擊界面，縮短漏洞被利用的駐留時(shí)間。