最近被入侵的大企業(yè)有個(gè)長(zhǎng)長(zhǎng)的名單:塔吉特、家得寶、史泰博(Staples)、邁克爾斯(Michaels,美國(guó)工藝品零售商)、凱馬特(Kmart,美國(guó)超市連鎖)、eBay、安騰(Anthem,美國(guó)醫(yī)療保險(xiǎn)公司)、索尼娛樂(lè)影業(yè)……但這些也只是冰山一角。
雖然很多企業(yè)都在對(duì)預(yù)防性安全措施加大投入,但還是在對(duì)抗網(wǎng)絡(luò)罪犯的戰(zhàn)爭(zhēng)中處于下風(fēng)。雖然有很多機(jī)構(gòu)使用了美國(guó)國(guó)家標(biāo)準(zhǔn)術(shù)研究所(NIST)和其它標(biāo)準(zhǔn)化機(jī)構(gòu)開(kāi)發(fā)的應(yīng)對(duì)策略,但我們?nèi)晕凑业浇鉀Q網(wǎng)絡(luò)安全威脅的最佳方法。
普華永道發(fā)布的調(diào)研報(bào)告(《在互聯(lián)世界中控制網(wǎng)絡(luò)風(fēng)險(xiǎn)》,2015)在2014年跟蹤了9700家公司,并發(fā)現(xiàn)了近430萬(wàn)起安全事件,該數(shù)字自2009年以來(lái)以年平均增長(zhǎng)66%的速度穩(wěn)步提升。大家不禁開(kāi)始懷疑針對(duì)網(wǎng)絡(luò)安全方面的投入是否有效。
一方面董事會(huì)尋求得到整個(gè)企業(yè)所受安全威脅的定量數(shù)據(jù),而另一方面企業(yè)里的業(yè)務(wù)部門(mén)卻深受各種網(wǎng)絡(luò)攻擊之苦。企業(yè)和監(jiān)管者都迫切地想要知道如何報(bào)道和平息數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊事件,如何將安全威脅最小化。我們可以從以下四個(gè)基本層面來(lái)考慮安全防御策略:
1. 持續(xù)監(jiān)控大多數(shù)機(jī)構(gòu)都基于發(fā)射井式工具來(lái)采集安全數(shù)據(jù),比如數(shù)據(jù)欺騙與丟失防護(hù)、漏洞管理、SIEM。這導(dǎo)致待分析數(shù)據(jù)的流量、強(qiáng)度、復(fù)雜度都非常高。不幸的是,我們只能通過(guò)手動(dòng)過(guò)程來(lái)檢查大量的日志文件,這導(dǎo)致很多重大漏洞并不能在第一時(shí)間發(fā)現(xiàn)。
使用NIST提供的持續(xù)性檢測(cè)策略只會(huì)讓數(shù)據(jù)安全問(wèn)題更加突出,因?yàn)樗皇窃黾恿藪呙桀l率和堆積的日志數(shù)據(jù)量。大數(shù)據(jù)集可以把特定的行為進(jìn)行歸類(lèi),不過(guò)還有一些需要克服的技術(shù)挑戰(zhàn)。大數(shù)據(jù)風(fēng)險(xiǎn)管理軟件可以幫助組織聚集不同的數(shù)據(jù)源,從而降低成本。通過(guò)統(tǒng)一的解決方案,簡(jiǎn)化流程,創(chuàng)造情景感知模型以及時(shí)發(fā)現(xiàn)漏洞與威脅。它還可以收集歷史趨勢(shì)數(shù)據(jù),幫助預(yù)測(cè)安全趨勢(shì)。
2. 安全威脅視覺(jué)化對(duì)機(jī)構(gòu)而言,檢測(cè)實(shí)時(shí)威脅的最有效方法之一就是利用視覺(jué)演示,將公司的網(wǎng)絡(luò)架構(gòu)及相關(guān)風(fēng)險(xiǎn)陳列出來(lái)。該方法為安全人員提供了一些交互式視角,它可以呈現(xiàn)諸如系統(tǒng)和組件之間、系統(tǒng)與系統(tǒng)之間、組件與組件之間的關(guān)系。最重要的是,它可以使安全人員通過(guò)查看受影響的系統(tǒng)和組件情況,快速分辨相關(guān)威脅的嚴(yán)重程度。這使得各機(jī)構(gòu)可以專(zhuān)注于解決高風(fēng)險(xiǎn)業(yè)務(wù)模塊,增加管理透明度。
3. 基于風(fēng)險(xiǎn)的優(yōu)先級(jí)排序?yàn)榱祟I(lǐng)先攻擊者一步,對(duì)漏洞和安全事件進(jìn)行優(yōu)先級(jí)排序是很重要的。安全監(jiān)控產(chǎn)生了大數(shù)據(jù),但未經(jīng)分類(lèi)組織的大數(shù)據(jù)沒(méi)有利用價(jià)值。更重要的是,信息安全決策應(yīng)該基于對(duì)數(shù)據(jù)的觀察,對(duì)其進(jìn)行優(yōu)先級(jí)排序和可行性分析之后再進(jìn)行行動(dòng)。沒(méi)有基于風(fēng)險(xiǎn)的排序,機(jī)構(gòu)可能將寶貴的資源浪費(fèi)在那些并不重要的安全事件上。
進(jìn)一步講,安全相關(guān)的大數(shù)據(jù)需要基于責(zé)任人和處理者的需求進(jìn)行嚴(yán)格的分類(lèi)。面對(duì)大數(shù)據(jù)的時(shí)候,不同的部門(mén)可能有著不同的需求。
4. 閉環(huán)修復(fù)最近,各機(jī)構(gòu)的主題專(zhuān)家開(kāi)始使用基于風(fēng)險(xiǎn)的閉環(huán)修復(fù)策略,以進(jìn)行風(fēng)險(xiǎn)分類(lèi)和風(fēng)險(xiǎn)可承受評(píng)估。這一過(guò)程需要資產(chǎn)分類(lèi),以定義業(yè)務(wù)危險(xiǎn)危險(xiǎn)程度;另外,它還使用基于風(fēng)險(xiǎn)的優(yōu)先級(jí)排序以及閉環(huán)跟蹤測(cè)量評(píng)估策略。
通過(guò)對(duì)現(xiàn)存資產(chǎn)、人員、過(guò)程、潛在風(fēng)險(xiǎn)、可能威脅進(jìn)行組織并建立持續(xù)檢查回路,各機(jī)構(gòu)可以顯著提升業(yè)務(wù)部門(mén)、安全部門(mén)、IT部門(mén)三者的協(xié)同行動(dòng)效率。這使得對(duì)安全措施變得有形化,從而可以評(píng)估。
關(guān)注這四塊網(wǎng)絡(luò)安全的基石,各機(jī)構(gòu)不僅可以滿(mǎn)足董事會(huì)對(duì)安全定量報(bào)告的需求,還可以幫助業(yè)務(wù)部門(mén)消除網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。這套方法論還有助于對(duì)攻擊產(chǎn)生的破壞進(jìn)行實(shí)時(shí)修復(fù),增進(jìn)公司威脅的可見(jiàn)性。