信息來源:企業(yè)網(wǎng)
數(shù)據(jù)已經(jīng)成為安全業(yè)界的困擾�。專家們和廠商們告訴企業(yè),它們需要威脅情報���、日志及其可以收集的任何蹤跡��。事實上��,處理所有的原數(shù)據(jù)已經(jīng)成為一個重要的“大數(shù)據(jù)”問題�。不幸的是��,海量的數(shù)據(jù)記錄往往使復(fù)雜的攻擊變得難以捉摸���,并且使我們對檢測入侵的能力感到信心不足��。
攻擊者們還訪問企業(yè)使用的所有相同的監(jiān)視工具�����,并且可以針對這些監(jiān)視工具測試它們自己的工具和技術(shù)��,以確保其不被檢測到���。最老練的攻擊者往往利用以前未曾看到過的工具和漏洞。在識別和確認這類攻擊時��,監(jiān)視系統(tǒng)面臨著很大的壓力�����。從歷史上看,攻擊者們都能夠在被發(fā)現(xiàn)(往往是由一個第三方發(fā)現(xiàn)的)之前在受害者的網(wǎng)絡(luò)中呆停留長達幾個月的時間���。
部分問題在于��,企業(yè)的計算環(huán)境非常復(fù)雜且繁忙�����,因而很多敵對活動可以隱藏在噪音中。聰明的攻擊者可以通過同合法用戶一樣的方式來使用竊取的憑據(jù)連接數(shù)據(jù)庫����,并且使用的與合法用戶相同的計算機。
我們不能簡單地依賴監(jiān)視來檢測一般的開放性計算環(huán)境中的復(fù)雜攻擊��。由于這些攻擊者可以長時間無法被檢測到����,所以他們能夠在其危害被發(fā)現(xiàn)之前對系統(tǒng)造成巨大破壞。還有一個使問題更惡化的事實�����,就是Web瀏覽器等應(yīng)用程序過于龐大和復(fù)雜�,因而發(fā)現(xiàn)漏洞難度較大��。由此帶來的結(jié)果是��,為了勉強對付黑客攻擊���,每年都要針對這些應(yīng)用程序發(fā)布成千上萬的重大安全補丁。
對付這種情況的一種辦法是��,創(chuàng)建一種使檢測可以更好地運行的環(huán)境�����,而且如果不能檢測到攻擊也不會自動地引起大面積的危害�����。據(jù)統(tǒng)計�����,黑客們利用僅僅是有限的少量應(yīng)用程序漏洞����,但針對這些程序的攻擊卻占據(jù)了絕大多數(shù)。如果企業(yè)重視監(jiān)視和防御有限的這些易被攻擊的應(yīng)用程序,攻擊者的日子就要難過得多��。
這些關(guān)鍵應(yīng)用程序應(yīng)當運行在內(nèi)部經(jīng)強化的和最小化的虛擬環(huán)境中��。這會帶來大量好處:
首先���,簡化的環(huán)境使得監(jiān)視和對異常的檢測更為簡單�����。由于應(yīng)用程序數(shù)量少并且交互也有限�����,所以背景噪音的水平也會極大降低。在個人計算機中���,幾乎任何活動都有發(fā)生的可能性����,但是對于一個經(jīng)強化的和最小化的虛擬機來說���,只可能發(fā)生特定的問題�。任何異常的發(fā)生都有可能標志著損害的產(chǎn)生。
其次��,虛擬機可以從容地從主機環(huán)境中脫離�。攻擊者可能損害應(yīng)用程序,但這并不能使其可以訪問整個計算機����、文件、網(wǎng)絡(luò)等����。對于能夠擊敗甚至是最高級監(jiān)視的攻擊者來說,這種方法提供了關(guān)鍵防護�。
第三,這有可能清除攻擊者的惡意軟件和立足點���,甚至在攻擊者能夠逃避監(jiān)視和檢測時�����,也能夠做到對其絞殺�����。整個虛擬機可以根據(jù)需要進行清除和重新生成��,因為虛擬機并沒有包含文檔或其它需要保存的其它數(shù)據(jù)��。通過將虛擬機重置到一個已知的良好狀態(tài)���,攻擊者就會被趕出系統(tǒng)�����,即使防御者并不知道是否有攻擊者的存在�����。
關(guān)注攻擊面并設(shè)計系統(tǒng)可以極大地增加企業(yè)監(jiān)視工作的有效性�����,從而更快速地檢測并阻止入侵���。而全面關(guān)注每個安全問題相當于沒有關(guān)注任何問題���。通過重新改變戰(zhàn)場�,使其符合企業(yè)利益���,并且在部署和利用檢測工具性時講究策略����,企業(yè)就可以在與攻擊者的較量中占據(jù)優(yōu)勢。
