信息來源:安全牛
把發(fā)生網(wǎng)絡(luò)安全事件當(dāng)成 “新常態(tài)” 的公司就是好公司。
卡巴斯基實(shí)驗(yàn)室最近對(duì) 250 名頂級(jí)安全官做了問卷調(diào)查,結(jié)果顯示,86% 的受訪者認(rèn)為網(wǎng)絡(luò)安全事件是無可避免的。當(dāng)今網(wǎng)絡(luò)環(huán)境的復(fù)雜性保證每家公司都在被入侵的路上。云采納催生出橫跨不同地點(diǎn)和團(tuán)隊(duì)的混合環(huán)境,容器的使用,還有可滲透的邊界——所有這些因素都擴(kuò)大了攻擊界面,挑戰(zhàn)我們現(xiàn)有的威脅管理方法。
造船技師預(yù)期故障并為此作出計(jì)劃,我們也應(yīng)當(dāng)如此
安全行業(yè)顯然可以在事件管理上做更多工作。盡管我們花費(fèi)數(shù)十億美元可能防止了大量壞事發(fā)生,但導(dǎo)致災(zāi)難性損失的重大數(shù)據(jù)泄露事件一直在增加,隨之而來的就是曝光記錄和敏感客戶數(shù)據(jù)泄露事件的指數(shù)級(jí)增多。為什么會(huì)這樣?因?yàn)榕c其他行業(yè)不同,我們并沒有為失效做出計(jì)劃。
以造船業(yè)為例。造船技師通過分隔船體和限制進(jìn)入引擎室來控制事件發(fā)生時(shí)的損害,為故障做好工程準(zhǔn)備。這種做法從 15 世紀(jì)就開始了,一直沿用到現(xiàn)代艦船身上。造船技師的經(jīng)驗(yàn)也可應(yīng)用到現(xiàn)代 IT 安全中。下面列出的幾個(gè)安全原則就反映出了這一點(diǎn):
1. 造船技師假定船只總會(huì)遭遇漏水,所以他們打造的船體可以防止單一漏點(diǎn)導(dǎo)致整船沉沒。同理,假定企業(yè)環(huán)境中總會(huì)發(fā)生安全事件,為此分隔企業(yè)網(wǎng)絡(luò)。如此一來,即使惡意軟件進(jìn)入了測試環(huán)境,開發(fā)、生產(chǎn)和隔離區(qū)等其他敏感環(huán)境不會(huì)受到影響。缺乏分隔可使攻擊者一旦越過邊界就很容易移動(dòng)至關(guān)鍵區(qū)域,就好像如果船體未做分隔,漏水會(huì)很快漫延整船一樣。
2. 負(fù)責(zé)維護(hù)船體的員工定期檢查滲漏點(diǎn)或脆弱點(diǎn),保證貴重貨物和船員的安全。同樣地,現(xiàn)代安全團(tuán)隊(duì)必須謹(jǐn)慎監(jiān)視和修復(fù),防止邊界上眾所周知的縫隙和潛在的重大問題。
3. 艦船最敏感的工具都在引擎室里。為保護(hù)您最貴重的資產(chǎn),務(wù)必筑好關(guān)鍵 IT 資產(chǎn)的護(hù)壁,確保其不受網(wǎng)絡(luò)入侵的傷害。
4. 船上總有船員不間斷瞭望,監(jiān)視一切情況,在必要的時(shí)候直接修正航線。與之類似,有必要維護(hù)從整個(gè)數(shù)據(jù)中心直至應(yīng)用層的完整可見性。在可以 “改變航向” 或設(shè)置任何策略或控制之前,必須獲得對(duì)愈趨復(fù)雜且動(dòng)態(tài)的生態(tài)系統(tǒng)的可見性。
5. 讓船員不能隨便登上艦橋是一個(gè)重要的安全措施。同理,網(wǎng)絡(luò)世界中建議設(shè)置基于用戶身份的策略,確保公司員工、承包商和遠(yuǎn)程用戶只能訪問自己有權(quán)訪問的東西。這么做的結(jié)果就是您的業(yè)務(wù)關(guān)鍵應(yīng)用只能被已授權(quán)用戶訪問,獲得更高的安全性。
僅過去兩年間,就有多個(gè)案例直指可見性與分隔缺失是大規(guī)模數(shù)據(jù)泄露的頭號(hào)元兇。比如 2017 年影響 1.48 億消費(fèi)者的史上最大網(wǎng)絡(luò)攻擊 Equifax 數(shù)據(jù)泄露事件,美國眾議院監(jiān)督與政府改革委員會(huì)對(duì)此事件的報(bào)告就提到,該公司未能實(shí)現(xiàn)基本的安全協(xié)議,包括文件完整性監(jiān)視與網(wǎng)絡(luò)分隔,使攻擊者得以訪問并刪除了大量數(shù)據(jù)。
Equifax 在良好分隔策略上的缺失,使攻擊者在持續(xù) 75 天的攻擊行動(dòng)中得以訪問十幾個(gè)含有個(gè)人可識(shí)別信息 (PII) 的數(shù)據(jù)庫。WannaCry,史上最大型惡意軟件感染,同樣本可以得到更好的遏制——如果受害公司為自己的系統(tǒng)事先修復(fù)了其利用的 MS10-010 漏洞。然而,公司企業(yè)并未意識(shí)到自己存在需要修復(fù)的漏洞,或者沒有能力去修復(fù)。即便沒打上補(bǔ)丁,只要部署了網(wǎng)絡(luò)分隔,受影響企業(yè)也本可以實(shí)施安全策略并阻止該蠕蟲在整個(gè)環(huán)境中蔓延的。
預(yù)期泄露,打補(bǔ)丁,分隔
Equifax 和 WannaCry 這種規(guī)模的威脅,人們很容易假定攻擊者采用復(fù)雜攻擊模式,或者利用未被發(fā)現(xiàn)的新漏洞。然而,這些攻擊的巨大成功是建立在沒打補(bǔ)丁的系統(tǒng)和缺乏網(wǎng)絡(luò)分隔上的。認(rèn)清混亂終會(huì)到來的現(xiàn)實(shí),預(yù)期可被網(wǎng)絡(luò)分隔和更好數(shù)據(jù)中心可見性阻止的攻擊,公司企業(yè)便沒那么容易被單點(diǎn)入侵導(dǎo)致整船沉沒,可確保公司的長治久安。