信息來源:安全牛
把發(fā)生網(wǎng)絡(luò)安全事件當(dāng)成 “新常態(tài)” 的公司就是好公司���。
卡巴斯基實(shí)驗(yàn)室最近對 250 名頂級(jí)安全官做了問卷調(diào)查��,結(jié)果顯示���,86% 的受訪者認(rèn)為網(wǎng)絡(luò)安全事件是無可避免的。當(dāng)今網(wǎng)絡(luò)環(huán)境的復(fù)雜性保證每家公司都在被入侵的路上���。云采納催生出橫跨不同地點(diǎn)和團(tuán)隊(duì)的混合環(huán)境�,容器的使用,還有可滲透的邊界——所有這些因素都擴(kuò)大了攻擊界面����,挑戰(zhàn)我們現(xiàn)有的威脅管理方法。
造船技師預(yù)期故障并為此作出計(jì)劃�����,我們也應(yīng)當(dāng)如此
安全行業(yè)顯然可以在事件管理上做更多工作���。盡管我們花費(fèi)數(shù)十億美元可能防止了大量壞事發(fā)生�����,但導(dǎo)致災(zāi)難性損失的重大數(shù)據(jù)泄露事件一直在增加����,隨之而來的就是曝光記錄和敏感客戶數(shù)據(jù)泄露事件的指數(shù)級(jí)增多��。為什么會(huì)這樣��?因?yàn)榕c其他行業(yè)不同�����,我們并沒有為失效做出計(jì)劃。
以造船業(yè)為例��。造船技師通過分隔船體和限制進(jìn)入引擎室來控制事件發(fā)生時(shí)的損害���,為故障做好工程準(zhǔn)備。這種做法從 15 世紀(jì)就開始了��,一直沿用到現(xiàn)代艦船身上�����。造船技師的經(jīng)驗(yàn)也可應(yīng)用到現(xiàn)代 IT 安全中���。下面列出的幾個(gè)安全原則就反映出了這一點(diǎn):
1. 造船技師假定船只總會(huì)遭遇漏水�����,所以他們打造的船體可以防止單一漏點(diǎn)導(dǎo)致整船沉沒��。同理��,假定企業(yè)環(huán)境中總會(huì)發(fā)生安全事件����,為此分隔企業(yè)網(wǎng)絡(luò)。如此一來��,即使惡意軟件進(jìn)入了測試環(huán)境���,開發(fā)�、生產(chǎn)和隔離區(qū)等其他敏感環(huán)境不會(huì)受到影響��。缺乏分隔可使攻擊者一旦越過邊界就很容易移動(dòng)至關(guān)鍵區(qū)域���,就好像如果船體未做分隔���,漏水會(huì)很快漫延整船一樣。
2. 負(fù)責(zé)維護(hù)船體的員工定期檢查滲漏點(diǎn)或脆弱點(diǎn)���,保證貴重貨物和船員的安全��。同樣地���,現(xiàn)代安全團(tuán)隊(duì)必須謹(jǐn)慎監(jiān)視和修復(fù),防止邊界上眾所周知的縫隙和潛在的重大問題����。
3. 艦船最敏感的工具都在引擎室里���。為保護(hù)您最貴重的資產(chǎn),務(wù)必筑好關(guān)鍵 IT 資產(chǎn)的護(hù)壁��,確保其不受網(wǎng)絡(luò)入侵的傷害����。
4. 船上總有船員不間斷瞭望���,監(jiān)視一切情況���,在必要的時(shí)候直接修正航線。與之類似���,有必要維護(hù)從整個(gè)數(shù)據(jù)中心直至應(yīng)用層的完整可見性���。在可以 “改變航向” 或設(shè)置任何策略或控制之前,必須獲得對愈趨復(fù)雜且動(dòng)態(tài)的生態(tài)系統(tǒng)的可見性���。
5. 讓船員不能隨便登上艦橋是一個(gè)重要的安全措施��。同理��,網(wǎng)絡(luò)世界中建議設(shè)置基于用戶身份的策略�,確保公司員工、承包商和遠(yuǎn)程用戶只能訪問自己有權(quán)訪問的東西�����。這么做的結(jié)果就是您的業(yè)務(wù)關(guān)鍵應(yīng)用只能被已授權(quán)用戶訪問���,獲得更高的安全性�����。
僅過去兩年間��,就有多個(gè)案例直指可見性與分隔缺失是大規(guī)模數(shù)據(jù)泄露的頭號(hào)元兇�。比如 2017 年影響 1.48 億消費(fèi)者的史上最大網(wǎng)絡(luò)攻擊 Equifax 數(shù)據(jù)泄露事件����,美國眾議院監(jiān)督與政府改革委員會(huì)對此事件的報(bào)告就提到,該公司未能實(shí)現(xiàn)基本的安全協(xié)議��,包括文件完整性監(jiān)視與網(wǎng)絡(luò)分隔���,使攻擊者得以訪問并刪除了大量數(shù)據(jù)���。
Equifax 在良好分隔策略上的缺失�,使攻擊者在持續(xù) 75 天的攻擊行動(dòng)中得以訪問十幾個(gè)含有個(gè)人可識(shí)別信息 (PII) 的數(shù)據(jù)庫��。WannaCry���,史上最大型惡意軟件感染����,同樣本可以得到更好的遏制——如果受害公司為自己的系統(tǒng)事先修復(fù)了其利用的 MS10-010 漏洞���。然而,公司企業(yè)并未意識(shí)到自己存在需要修復(fù)的漏洞���,或者沒有能力去修復(fù)����。即便沒打上補(bǔ)丁���,只要部署了網(wǎng)絡(luò)分隔�����,受影響企業(yè)也本可以實(shí)施安全策略并阻止該蠕蟲在整個(gè)環(huán)境中蔓延的��。
預(yù)期泄露���,打補(bǔ)丁�����,分隔
Equifax 和 WannaCry 這種規(guī)模的威脅��,人們很容易假定攻擊者采用復(fù)雜攻擊模式���,或者利用未被發(fā)現(xiàn)的新漏洞。然而���,這些攻擊的巨大成功是建立在沒打補(bǔ)丁的系統(tǒng)和缺乏網(wǎng)絡(luò)分隔上的���。認(rèn)清混亂終會(huì)到來的現(xiàn)實(shí),預(yù)期可被網(wǎng)絡(luò)分隔和更好數(shù)據(jù)中心可見性阻止的攻擊����,公司企業(yè)便沒那么容易被單點(diǎn)入侵導(dǎo)致整船沉沒�����,可確保公司的長治久安���。
