信息來(lái)源:企業(yè)網(wǎng)
數(shù)據(jù)已經(jīng)成為安全業(yè)界的困擾。專家們和廠商們告訴企業(yè),它們需要威脅情報(bào)����、日志及其可以收集的任何蹤跡����。事實(shí)上����,處理所有的原數(shù)據(jù)已經(jīng)成為一個(gè)重要的“大數(shù)據(jù)”問(wèn)題����。不幸的是����,海量的數(shù)據(jù)記錄往往使復(fù)雜的攻擊變得難以捉摸����,并且使我們對(duì)檢測(cè)入侵的能力感到信心不足。
攻擊者們還訪問(wèn)企業(yè)使用的所有相同的監(jiān)視工具����,并且可以針對(duì)這些監(jiān)視工具測(cè)試它們自己的工具和技術(shù),以確保其不被檢測(cè)到����。最老練的攻擊者往往利用以前未曾看到過(guò)的工具和漏洞。在識(shí)別和確認(rèn)這類攻擊時(shí)����,監(jiān)視系統(tǒng)面臨著很大的壓力。從歷史上看����,攻擊者們都能夠在被發(fā)現(xiàn)(往往是由一個(gè)第三方發(fā)現(xiàn)的)之前在受害者的網(wǎng)絡(luò)中呆停留長(zhǎng)達(dá)幾個(gè)月的時(shí)間。
部分問(wèn)題在于����,企業(yè)的計(jì)算環(huán)境非常復(fù)雜且繁忙����,因而很多敵對(duì)活動(dòng)可以隱藏在噪音中����。聰明的攻擊者可以通過(guò)同合法用戶一樣的方式來(lái)使用竊取的憑據(jù)連接數(shù)據(jù)庫(kù),并且使用的與合法用戶相同的計(jì)算機(jī)����。
我們不能簡(jiǎn)單地依賴監(jiān)視來(lái)檢測(cè)一般的開放性計(jì)算環(huán)境中的復(fù)雜攻擊。由于這些攻擊者可以長(zhǎng)時(shí)間無(wú)法被檢測(cè)到����,所以他們能夠在其危害被發(fā)現(xiàn)之前對(duì)系統(tǒng)造成巨大破壞。還有一個(gè)使問(wèn)題更惡化的事實(shí)����,就是Web瀏覽器等應(yīng)用程序過(guò)于龐大和復(fù)雜,因而發(fā)現(xiàn)漏洞難度較大����。由此帶來(lái)的結(jié)果是,為了勉強(qiáng)對(duì)付黑客攻擊����,每年都要針對(duì)這些應(yīng)用程序發(fā)布成千上萬(wàn)的重大安全補(bǔ)丁。
對(duì)付這種情況的一種辦法是����,創(chuàng)建一種使檢測(cè)可以更好地運(yùn)行的環(huán)境,而且如果不能檢測(cè)到攻擊也不會(huì)自動(dòng)地引起大面積的危害����。據(jù)統(tǒng)計(jì),黑客們利用僅僅是有限的少量應(yīng)用程序漏洞����,但針對(duì)這些程序的攻擊卻占據(jù)了絕大多數(shù)。如果企業(yè)重視監(jiān)視和防御有限的這些易被攻擊的應(yīng)用程序����,攻擊者的日子就要難過(guò)得多。
這些關(guān)鍵應(yīng)用程序應(yīng)當(dāng)運(yùn)行在內(nèi)部經(jīng)強(qiáng)化的和最小化的虛擬環(huán)境中����。這會(huì)帶來(lái)大量好處:
首先,簡(jiǎn)化的環(huán)境使得監(jiān)視和對(duì)異常的檢測(cè)更為簡(jiǎn)單����。由于應(yīng)用程序數(shù)量少并且交互也有限,所以背景噪音的水平也會(huì)極大降低����。在個(gè)人計(jì)算機(jī)中����,幾乎任何活動(dòng)都有發(fā)生的可能性����,但是對(duì)于一個(gè)經(jīng)強(qiáng)化的和最小化的虛擬機(jī)來(lái)說(shuō),只可能發(fā)生特定的問(wèn)題����。任何異常的發(fā)生都有可能標(biāo)志著損害的產(chǎn)生。
其次����,虛擬機(jī)可以從容地從主機(jī)環(huán)境中脫離。攻擊者可能損害應(yīng)用程序����,但這并不能使其可以訪問(wèn)整個(gè)計(jì)算機(jī)、文件����、網(wǎng)絡(luò)等。對(duì)于能夠擊敗甚至是最高級(jí)監(jiān)視的攻擊者來(lái)說(shuō),這種方法提供了關(guān)鍵防護(hù)����。
第三����,這有可能清除攻擊者的惡意軟件和立足點(diǎn),甚至在攻擊者能夠逃避監(jiān)視和檢測(cè)時(shí)����,也能夠做到對(duì)其絞殺。整個(gè)虛擬機(jī)可以根據(jù)需要進(jìn)行清除和重新生成����,因?yàn)樘摂M機(jī)并沒有包含文檔或其它需要保存的其它數(shù)據(jù)。通過(guò)將虛擬機(jī)重置到一個(gè)已知的良好狀態(tài)����,攻擊者就會(huì)被趕出系統(tǒng),即使防御者并不知道是否有攻擊者的存在����。
關(guān)注攻擊面并設(shè)計(jì)系統(tǒng)可以極大地增加企業(yè)監(jiān)視工作的有效性,從而更快速地檢測(cè)并阻止入侵����。而全面關(guān)注每個(gè)安全問(wèn)題相當(dāng)于沒有關(guān)注任何問(wèn)題����。通過(guò)重新改變戰(zhàn)場(chǎng)����,使其符合企業(yè)利益,并且在部署和利用檢測(cè)工具性時(shí)講究策略����,企業(yè)就可以在與攻擊者的較量中占據(jù)優(yōu)勢(shì)。
