安全问题将始终是一大问题,无论是在任何地点、是否采用数字化或其他形式。然而,我们也可以从新闻报纸的头条看出,形势正在变得更加恶化,这也就不免引发了人们对于企业是否能够很好的保护自己或是虚拟的窃取行为是否是在线业务的成本等问题的担忧。显然,目前所实施的这些保护方法都是不奏效的,无论是有形或无形的损失都在变得越来越多。但是,我们是否还有另一套选择方案呢?
每个人都处于危险之中
虽然某些企业可能较之其他企业有更高的知名度,这也使得他们更容易成为黑客攻击的目标,但事实上,几乎每个人都有可能成为潜在安全攻击风险的突破口。据AccelOps公司的产品营销总监本杰明·鲍威尔指出:“大多数时候,黑客在脑海中会有一个特定的攻击目标或目的。例如,他们可能会想窃取信用卡信息或攻击政府组织机构。”然而,即使那些并未存储任何敏感信息或并未提供任何涉及政治或其他明显潜在被攻击目标的企业也是脆弱的。“大多数黑客会让他们的攻击能够部分的自动化识别系统。”鲍威尔说。“这些自动化工具(恶意软件)在互联网上是松散的。因此,只要您有一台电脑是连接到网络或互联网的,您就很容易受到黑客攻击。”
关键在于安全管理方法的改变。“如果企业能够使用一款自动化的工具,来实施自我保护。这意味着该系统无需由管理人员来告诉它在应用程序或服务器中什么是正常的流量或行为。然后,系统会自动识别怎样的使用模式是不正常或不寻常的。”更传统的安全策略包括将软件或网络活动的模式与已经知道的恶意软件或其他攻击的模式进行比较。虽然这种方法具有其一定的价值,但这显然是局限于那些已知的安全攻击,其签名已经被集成整合到安全解决方案中。但是,这种方法对于任何以民族国家、独立团体(例如,黑客团队)或个别黑客为攻击源,悄然发现任何安全弱点并进行安全攻击而言,其价值可以说是很少的或没有价值的。
“您企业的工具需要审核更广泛的信息。”鲍威尔说。“企业应该对信息进行收集和分析、了解趋势和基线。信息应包括安全性、性能/可用性、变化和网络流量信息。只有这样,企业才能检测和阻止来自黑客的‘挑战’,当然,难点在于部署和实施这样一个系统。识别已知的安全攻击是一回事;而想要识别新的或未知的安全攻击就是完全不同的另一回事了。
面对未知
系统能够检测以前未发现的或新的安全攻击在理论上听起来固然不错;当然,这个问题目前也正在进一步实施过程中。“但事实上,想要为未知的安全威胁做好准备是很难的。”鲍威尔表示说。“大多数安全工具只知道他们已经见过的攻击行为。这就是为什么企业需要有一款安全工具可以进行自我学习,而无需被教导哪些流量是好的;哪些是坏的原因了。您企业所需要的是无监督的机器学习,了解那些行为是正常的或常规的。”为此,他还专门列举了一系列的安全措施,企业可以遵循鲍威尔所列出的如下步骤来实施或改善其安全基础架构:
1、从所有连接到网络的服务器、应用程序和设备收集日志。
2、收集性能和可用性信息。
3、收集趋势行为和性能统计数据。
4、监测和收集NetFlow和sFlow信息。
5、发现和库存网络上的所有设备。
6、在所有服务器上安装文件完整性监控。
7、对所有闲置数据进行加密。
8、对日志和性能数据进行趋势分析,以识别不寻常或未知的行为。
9、实时交叉相关的性能/可用性、安全性、变化和合规性信息。
10、当一个事件被触发时,在您企业的正常售票/工作流系统(ServiceNow,ConnectWise,Remedy等等)自动创建事件。
11、具有突发事件应对计划和程序
12、执行内部渗透测试,同时也聘请外部独立的渗透测试团队。
13、定期修补系统。
14、定期更换您的密码。
15、实行职责分离,限制信息曝光。这种方法也将有助于避免给黑客进行攻击的“钥匙”。
16、实施计划内和计划外的安全演习,以确保计划的制定和跟踪,并在发现问题时及时吸取经验,如:红队练习夺旗(获取某些伪装的机密信息)。
17、针对您企业的员工实施培训,不仅需要培训您企业内部程序的操作,而且还包括您企业用以保护企业数据信息的安全产品的操作。
18、让企业内部不同的职能团队紧密合作,使他们了解彼此的工作和责任。这样做,将有助于当攻击发生时,进行取证调查,并查明被入侵的系统。
19、调查被发送到您企业或国家以外的异常流量。
20、监控VPN的访问,并在当某人从非常规地点登录时提供警报。
21、当软件版本或性能特点改变时发出警告。
有些项目只是标准程序,无论企业是否是采取的一般性的安全性管理方法——例如,雇佣一个团队或个人进行渗透测试,以找出安全弱点。虽然定期更改密码本身并不能提高安全性(黑客猜中密码的概率并不一定会改变,仅仅只现时的密码与过去的密码是不同的),但这些方法可以帮助限制或阻止由访问漏洞所带来的损失。但是,尽管如此,这项任务的困难部分在于如何从网络数据推断某种行为是否合法或不合法的。鲍威尔将该目标描述为“通过遵循数据相互交叉,并通过使用无监督的机器学习来识别并阻止黑客攻击”。第一家能够做到如此精确、可靠且经济实惠的安全供应商将使市场重新洗牌。
然而,除了保障网络安全,避免过多的误判也是至关重要的:客户或员工对于安全问题的过度热心可能会导致带来与安全性不足一样糟糕的结果。此外,如果相关的识别分析是实时的,可能是有益的;而如果识别分析太晚则几乎与没有识别分析一样糟糕。
安全性在变得更好之前,可能会进一步恶化
鲍威尔预计,在未来一两年内,类似OPM攻击这样的事件会更频繁。“究其原因在于大量的攻击可能已经发生,但尚未被发现。当前安全工具正在进一步更新其已知的安全攻击,然后找到入侵系统。”不幸的是,如同在OPM的案例中,尽管发现了安全攻击行为,但其一旦发生,相关的措施仍然不足以保护系统和客户。例如,OPM已经失去了大量敏感、且有价值的信息。自然地,在事后实施检测有一定的价值,因为其能够使系统能防止相同种类的攻击未来继续发生,但这往往是在相关数据信息已经丢失的情况下。敏感信息,如社会安全号码或(更具体地说)人体生物指纹等特征数据,往往很少或根本没有补救的办法。
据鲍威尔看来,转折点将出现在企业实施的安全措施能够在攻击行为发生时第一时间检测安全攻击行为的时候。“直到企业能够采用一种全新的方式,能够实时的将各种相关的数据信息交叉在一起时,他们才能够很容易避免黑客的攻击。目前,企业仍然处在迷失中。”
每个系统都容易受到损害,但显然当前的安全管理方法是严重缺乏的。而企业如何应对安全威胁,并作出相应的反应将是决定互联网的未来和数字经济的主要因素。