您企业当前的相关安全策略和程序是否真的有助于实现更好的安全,或者您企业的这些安全策略和程序只是关注于寻找已知的恶意软件,却忽略了某些人为因素呢?对于许多企业而言,这是一个相当棘手的问题。
最近几个月在美国各大机构所发生的数据泄露事件无疑引发了人们对于当前安全工具的有效性以及应对和处理新兴安全威胁的相关方法的关注和讨论。
在过去的十年中,私营或公开上市企业已经在加强安全性方面花费了数百亿美元,然而,恶意攻击者们依然一直能够通过各种方式成功地逃避企业所设置的重重安全防范措施。
这一趋势已经使得许多企业纷纷接受并采用一种回归到基本的方法:开始将重点放在工作人员、流程和技术上。而不是把安全功能方面的支出视为企业经营的一项麻烦的成本,越来越多的企业开始将其作为一项大力推动的新的战略举措。
“安全性和产品开发并不是相互排斥的。” 万事达卡的首席信息安全官Ron Green表示说。“我们并不将安全性作为一项孤立的责任。”
相反,万事达卡的安全专家们都在与其他专注于身份验证创新业务的团队合作,包括诸如万事达实验室、新兴的支付和企业安全解决方案团队,Green说。此举的重点是产品的长期管理和使用安全,并利用安全提高持卡人的用户体验。
“我们的高管团队期望我们能够将安全性纳入到我们每一项标准的实践中。” Green说。虽然这种做法可能会增加项目进度的时间成本,但这些成本是值得的。 “安全性已然成为吸引客户的一大筹码,而每家企业都需要为其客户提供足够的安全性。”他说。
企业的IT领导们在战略层面需要从如下五大关键措施入手,以加强安全性。而不同企业实施这些措施的方式可能会因企业具体的战术和操作水平有所不同。但关键的是要把重点放在高层次的目标上。
1、加强网络边界的保护
周边技术,如防病毒工具,防火墙和入侵检测系统,长久以来一直是企业安全战略的支柱。这些周边技术通过寻找特定的标记,或签名,已知病毒和其它类型的恶意软件,然后阻止恶意程序。
较之其他更多安全产品类别的产品,多年来,公共和私营企业都倾向于在周边安全工具方面花费更多的成本。但分析师们则警告说,对于保持系统的安全而言,仅仅靠外围防护是远远不够的。
但是,多家大型企业遭遇严重的数据泄露事故的残酷现实已然表明,基于签名的周边安全工具对于应对现如今恶意黑客所采用的有高度针对性的攻击行为是无效的。少数企业似乎准备完全放弃周边安全技术,而仍有许多企业坚持认为这些工具对于防止恶意软件发挥了重要作用。尽管如此,将周边安全技术作为唯一的,甚至是主要的防线是不够的,IBM安全研究员Marco Pistoia说。
“一系列的网络安全攻击已经表明,现在的黑客们能够绕过几乎任何类型的物理限制。”Pistoia说。“基于周边的安全防御技术仍然是必需的,但这些手段并不足以保证一个计算系统的安全性。”
从战略和战术的角度来看,企业将以周边安全技术作为安全链的必要环节之一是很重要的。
同样重要的是模式识别和预测性分析工具,可以帮助企业建立正常的网络活动的基准,然后找出行为偏差。正如在需要网络防火墙以阻止已知的安全威胁一样,企业也同样需要Web应用程序防火墙来防御那些设法突破周边安全工具的恶意软件,位于加州的法律公司Fenwick &West的CIO Matt Kesner表示说。
“在技术方面,我们仍然在花费时间和金钱在周边外围方面。”Kesner说。但已然不再仅仅盯住更多在网络边缘基于签名的拦截功能,Kesner已经在网络的各个层面建立了冗余恶意软件拦截系统和防火墙,包括在该公司Web应用程序服务器的前面。Fenwick &West公司使用日志事件协调系统,使IT能够从网络上的所有设备聚合、关联和分析日志记录和规则信息。
Kesner还部署了几款来自利基供应商的产品,以实现诸如搜索可疑特权升级和寻找隐藏极深的网络入侵者的证据等特殊功能。“我们花了大量的时间,以确保周边安全技术能够符合我们的预期。”Kesner说。“我们假设漏洞违规行为必然会发生,并希望能够更好地对其进行防范。”
最近几年已经发展出了一类专业化的新产品的特点就是所谓的“杀链”工具。可从诸如Palo Alto Networks这样的供应商处购买,这些系统不仅能够帮助企业寻找恶意软件;同时还能够监视黑客如何利用恶意程序进入网络,而这些信息最终帮助企业用户消除安全威胁。
许多工具都是基于个别黑客和黑客团体通常使用相同的恶意软件工具,并在攻击目标时,会遵循一套模式的前提。因此,通过确定安全攻击背后的个体或者黑客团队,企业防御特定工具以及攻击手段就会变得更容易。
2、建立检测和响应能力
现如今绝大多数针对企业的攻击都是由犯罪团伙或国家作为背后支持者针对性的策划进行的。过去的那些随机性的,漫无目标的攻击活动都已经由经过精心设计,以获取企业信息、知识产权、商业秘密和财务数据为目的的攻击所取代了。相较于以往那种哪痛医哪的思路,如今企业应当高度重视那些表现得非常低调,而且倾向于一点点慢慢获取数据的攻击行为。事实上这帮黑客变得极有耐心,他们可以拿出很长时间逐渐拼凑出自己想要的信息。
在这样的环境中,任何安全策略都应该尽可能多地强调将检测和响应纳入到预防中。
(责任编辑:安博涛)
