信息化實踐
PRACTICE
技術(shù)革新在改變著現(xiàn)代生活的方方面面,網(wǎng)絡(luò)安全威脅也在亦步亦趨并且常常超出IT部門對關(guān)鍵數(shù)據(jù)保護的安全能力。那些使用惡意軟件的人,在開源代碼中尋找漏洞、傳播病毒、入侵網(wǎng)絡(luò)、盜取數(shù)據(jù),無所不用其極。網(wǎng)絡(luò)攻擊來自于四面八方,IT部門在制定新的安全戰(zhàn)略時面臨艱難。
攻擊者通常會部署一系列的攻擊步驟,每一步對于熟悉內(nèi)幕的安全人員來說都會留下清晰的痕跡。當安全事件發(fā)生時,掌握準確威脅信息的安全團隊能夠發(fā)現(xiàn)和阻擋攻擊。這些威脅信息的來源包括商業(yè)信息、用戶行為習慣分析和企業(yè)內(nèi)部環(huán)境信息,基于這些信息安全團隊能夠洞察入侵者的操作并迅速地將其拒之門外。
安全牛本期安全講堂為大家?guī)怼叭绾问褂镁W(wǎng)絡(luò)信息來擊敗入侵者”。要想迅速的制止攻擊并保護重要數(shù)據(jù),必須實施高人(攻擊者)一籌的安全戰(zhàn)略,并將其覆蓋到擴展網(wǎng)絡(luò)。對付一次完整的攻擊過程(攻擊前、攻擊中和攻擊后)對于安全人員來說是一項邏輯性和周期性的工作,因此仔細的檢查每一個階段非常有助于安全工作。
攻擊前
安全人員要對任何可能出現(xiàn)的漏洞予以警醒。以前普遍認為,安全就是防守,但現(xiàn)在的安全人員正在建立更加智能的手段阻止入侵者,這種智能的手段需要依靠各種企業(yè)環(huán)境的信息,包括但不限于物理及虛擬主機、操作系統(tǒng)、應(yīng)用程序、系統(tǒng)服務(wù)、通信協(xié)議、用戶、內(nèi)容和網(wǎng)絡(luò)行為。基于對這些信息的了解,安全人員甚至能在攻擊開始之前采取措施。
攻擊中
時間是關(guān)鍵因素。安全人員必需能夠識別和理解威脅并知道如何快速制止這些威脅,從而最小化信息暴露的程度。使用的相關(guān)方法包括內(nèi)容檢測、行為異常檢測、用戶環(huán)境、設(shè)備情況、位置信息,并了解攻擊發(fā)生時的關(guān)鍵應(yīng)用程序。
攻擊后
安全人員必需理解發(fā)生了什么,如何降低可能的損失。高級取證及評估工具有助于安全人員了解這些事情:攻擊者在哪里發(fā)現(xiàn)的漏洞?有沒有可能預防這次入侵?更為重要的是,事后的安全追溯可以通過持續(xù)的收集和分析數(shù)據(jù)以建立安全消息庫,從而識別、評估、控制和補救那些數(shù)星期乃至數(shù)月都沒有檢測出來的入侵。
信息和理解是任何防護戰(zhàn)略的兩大關(guān)鍵要素。網(wǎng)絡(luò)安全人員一直都在更多的了解攻擊者,他們?yōu)槭裁春腿绾伟l(fā)起攻擊的。提交無法從計算環(huán)境獲得的深度信息,此為擴展網(wǎng)絡(luò)的價值所在。與反恐類似,信息或說情報是制止攻擊再次發(fā)生的關(guān)鍵。
與真實的戰(zhàn)場一樣,網(wǎng)絡(luò)空間的戰(zhàn)爭也無法僅依靠敵我雙方的資源數(shù)量來決定勝敗。量級相對較低手段較少的對手,能夠令量級比自己大的對手遭受更大的破壞。在這種不對稱的環(huán)境中,信息是應(yīng)對威脅最重要的資源。但是如果不去優(yōu)化信息的結(jié)構(gòu)性和可操性,信息本身是帶不來什么益處的。
舉一個信息優(yōu)化的例子:我們知道網(wǎng)絡(luò)分析可以收集到用戶登錄和登出系統(tǒng)時的IP流量信息,安全人員可以據(jù)此進行用戶身份和使用的網(wǎng)絡(luò)環(huán)境進行判斷。從而幫助安全人員從多種信息來源獲取信息,這些來源包括網(wǎng)站、網(wǎng)絡(luò),以及公共和個人之間的信息交換。
最佳的安全實踐包括對整個攻擊過程(攻擊前、中、后)的綜合性威脅控制戰(zhàn)略,以及發(fā)現(xiàn)威脅和防護、補救。最后,從結(jié)構(gòu)性和可操性的層面上利用各種威脅相關(guān)信息,將建立一個更加綜合的安全防護環(huán)境。
關(guān)于作者:GregAkers,思科安全可信部門高級副總裁,二十年以上高管經(jīng)驗。
鄂ICP備17014754號-1 COPYRIGHT (?) 2025 武漢實為信息技術(shù)股份有限公司. 技術(shù)支持:武漢中聯(lián)偉業(yè)
掃描二維碼分享到微信