序言:在趨勢科技CloudSec2015采訪了前美國中央情報局(CIA)技術(shù)長(CTO) BobFlores先生后深深的感受到——安全真的不是買了設(shè)備、買了服務(wù)那么簡單的事情!
壞消息
前美國中央情報局(CIA)技術(shù)長(CTO) BobFlores先生在趨勢科技CloudSec2015網(wǎng)絡(luò)安全大會上說的第一句話就是“這里有一個不好的消息”,如今惡意軟件在呈現(xiàn)泛濫的趨勢,攻擊者一方面可以在很短時間內(nèi)實施入侵,也會耐心潛伏起來。防護(hù)力薄弱的企業(yè),分分鐘的時間內(nèi)就會面臨各類惡意入侵、數(shù)據(jù)外泄等安全風(fēng)險。
調(diào)查數(shù)據(jù)顯示,99%的漏洞在一年內(nèi)可以被利用,76%的漏洞在2年可以被利用,9%的漏洞在10年還可以被利用。用戶對于給漏洞打補丁這件事兒還是不夠積極。76%的企業(yè)沒有安全應(yīng)急預(yù)案,其需要花費超過200天的時間去制定有效的安全應(yīng)急預(yù)案。23%的收件人會打開釣魚郵件,有11%的人會點開釣魚郵件里的問題附件。另外,DDoS類攻擊雖然極難防范,但其在所有攻擊里所在比例反倒很小。
美國人事管理局被入侵案例里,有2100萬的用戶資料被盜。而實際上這一入侵事件早已經(jīng)發(fā)生,但被發(fā)現(xiàn)卻很晚。其入侵檢測系統(tǒng)雖然能夠發(fā)現(xiàn)入侵,卻沒有有效的安全防護(hù)去阻斷攻擊,而且其數(shù)據(jù)也沒有進(jìn)行相關(guān)的安全加密防護(hù)。
攻擊者都是誰?
Bob表示,成功的攻擊主要由是有組織的攻擊團(tuán)體所發(fā)起。而且要注意,產(chǎn)業(yè)鏈相關(guān)企業(yè)很可能會成為惡意攻擊的跳板。
現(xiàn)在的惡意程序非常狡猾,所以要通過沙盒、蜜罐、大數(shù)據(jù)分析等技術(shù)進(jìn)行應(yīng)對,但這些遠(yuǎn)遠(yuǎn)不夠,還需要專業(yè)的安全團(tuán)隊,并提高人們的安全意識。而通過共享安全情報則能夠提高整體安全防護(hù)水平。
Bob建議用戶,首先要確定自己所最需要保護(hù)的目標(biāo),然后據(jù)此來制定安全防護(hù)策略,部署安全防線。還要不停的對公司員工進(jìn)行安全教育,告訴他們哪些郵件不能看,當(dāng)發(fā)現(xiàn)問題時應(yīng)該找誰來處理。而且這是一個需要持續(xù)進(jìn)行的工作,因為攻擊者有著明確的目標(biāo),其會施盡手段不達(dá)目的不罷休。所以防護(hù)者也要做好持久戰(zhàn)的準(zhǔn)備,并對重點目標(biāo)實施重點防護(hù)。
“公司要建立好安全應(yīng)急小組,人力、法務(wù)、公關(guān)之間也要形成良好的應(yīng)對機制,并進(jìn)行桌面以及正式的演練,使得每個人都知道安全事件發(fā)生時需要怎樣去做。”另外告訴你一個秘訣,讓公司的老板認(rèn)可安全防護(hù)會更有利于公司的網(wǎng)絡(luò)安全建設(shè)。
怎么才能最好的規(guī)劃安全預(yù)算?首先要做好計劃,確定安全防護(hù)的深度,同時參考各類相關(guān)標(biāo)準(zhǔn)。企業(yè)安全需要計算好ROI(投資回報率),做好安全評估,辨識出公司的核心安全需求,并做3-5年的預(yù)期。而且每年都要根據(jù)業(yè)務(wù)發(fā)展情況、安全威脅情況重新進(jìn)行評估。可惜的是,目前只有很少的安全預(yù)算是花費在安全應(yīng)急預(yù)案上,這遠(yuǎn)遠(yuǎn)不夠。
應(yīng)對惡意攻擊 讓每個人都成為安全專家
Bob在其網(wǎng)絡(luò)安全職業(yè)生涯里遭遇了“好多”讓人頭疼的惡意攻擊,其中有兩類讓Bob印象最為深刻。“零日攻擊是最難防御的,需要盡快的應(yīng)變。”現(xiàn)在人們正在研究各類新型安全技術(shù)——比如通過觀察智能電話電量的變化——來試圖能夠及時發(fā)現(xiàn)惡意攻擊行為。另外,人的行為不可預(yù)測——人心難測,來自企業(yè)內(nèi)部的攻擊也十分難于判斷、防御。比如人員臨時的工作變動,卻可能被安全系統(tǒng)判定為異常。
人們常說,網(wǎng)絡(luò)使得人們無法得知屏幕那一邊到底是人還是一條狗。而今,狡猾的惡意攻擊者更使得安全防御者們難以發(fā)現(xiàn)他們的蹤跡。從惡意攻擊者的攻擊行為模式等方面能夠進(jìn)行一定的分析,獲得部分攻擊者信息,但要想具體確定攻擊者的信息還很困難。
所以要想提前發(fā)現(xiàn)惡意威脅,需要在公司內(nèi)部有專業(yè)的安全團(tuán)隊(或者從外界購買相關(guān)的安全服務(wù))實時監(jiān)控公司內(nèi)部網(wǎng)絡(luò)情況,及時發(fā)現(xiàn)各類異常行為,并通過綜合分析,才有可能實現(xiàn)對惡意攻擊的提前封堵。
“沒有任何一個安全解決方案能夠搞定所有的安全問題。”安全解決方案需要根據(jù)惡意攻擊態(tài)勢進(jìn)行及時的調(diào)整、演進(jìn)。而最有效的安全防護(hù)方法還是加強人們的安全教育,如果人人都是安全專家惡意攻擊者會寸步難行——雖然這僅僅是理想中的情況,但依然可以看出安全意識提升的重要性。
京公網(wǎng)安備 11010502049343號