EnglishRSSApp/Android客户端iPad客户端Kindle版手机版天猫旗舰店

从黑客的角度洞观公司安全

作者: 2015-05-07 10:33:04 0

摩根士丹利、塔吉特、索尼,近年来频频遭受针对全球私人公司的网络攻击。尤其是后两家公司,其CEO因此而被迫辞职。网络攻击变得愈发复杂,也更具有破坏性,专门针对公司认为最重要的事项:客户数据、知识财产和商业信誉。

网络攻击频发—加上国防、执法和军事承包商网络被攻破—揭示出过去20年我们在网络安全方面的工作很大程度上是失败的。修复工作不仅需要安全官员的和IT团队的高度关注,也需要引起董事会和CEO的重视。

公司需要采取新的策略。一个可行的方向是通过黑客的视角洞观公司。在军事上,这被称为“扭转局势”。关键的一点就是需要了解敌人的想法,从敌人的角度看整个局势,预测他们的下一步动作,并做好万全的准备。

不幸的是,具有这种思维模式的公司太少了。尽管公司每年花费数十亿美元购买最新的安全产品,聘请最棒的安全工程师和分析师,但公司却变得比以往更加不堪一击。两种趋势造就了这一现象:企业IT架构的快速聚合以及日益复杂的敌人迅速扩增。

过去十年,企业信息技术经历了种种变更让现在每家公司都几乎成为了技术公司。截至这10年末,将产生500亿与互联网、复杂网络及生成数拍子节数据有关的设备。此外,云革命最终突破了防御带—享有“基础架构即服务”的公司必须依靠其直接控制范围之外的网络和系统的安全性。

由于流动性、物联网和云计算改变了公司,敌人也变得越来越复杂。国家和州资助的机构通常采用军事策略和能力来暗中监视和攻击私人公司。这样的攻击是在一个从系统结构性来讲攻击比防御轻松许多的系统中完成。因为在这个系统中难以归因,威慑力不确定,攻击方成功一次就会成功;而防守方需要次次成功才能确保安全。

大多数公司试图通过解析噪音信号来解决这一混乱的局面。它们为其最宝贵的资产建造了坚固的堡垒,但是,当普通大学生拥有7个IP接入设备时,这些防御带就形同虚设。当恶意网络与之前的不良事件匹配时,公司安全系统会自动发出警报,但该这些危险信号中却不包括新发生的和之前未知的威胁,公司的安全系统依旧有很多漏洞。

对此有着太多的争议,而无从应对。例如,安全分析师在一天内可能目睹上千起安全事件,但时间和资源使其仅能对其中的一小部分进行调查。这就是为什么即使外围网络设备已检测到恶意程序,但黑客仍能从塔吉特公司泄漏4000多万张信用卡号的原因;这也是为什么内曼·马库斯在其系统生成恶意程序警报逾60天后会遭到黑客攻击的原因;这也是为什么索尼在其IT团队得知公司已受到两年攻击后会又遭受黑客攻击的原因。

通过扭转局势,高管团队可以更加了解公司,为不可避免的网络攻击做好万全的准备。大多数公司从黑客的角度看到了如下情况:

* 公司安全绝大多数依靠常见的恶意软件检测和无精确指导的自动威胁防护。

* 对于网络的具体内容、其所使用的云设备、设备上运行的应用程序以及供应链和合作伙伴的安全态势,公司没有全面的了解。其IT和安全团队的关注点仅体现在外围、成本管理等方面,而非支持核心业务的卓越中心。

* 总体而言,公司的安全策略是被动应对,而非主动防御。

上述各要点就是攻击者可以利用的公司安全系统的弱点。这就是为什么公司在确定如何防御时应从攻击者的角度进行洞观的原因。下面我们来说说公司应如何进行防御。

1.了解您的主要风险以及敌人打算如何利用这些风险。

如果安全可以计算,那么敌人就是分子。公司必须尽最大可能了解他们可能面临的特有威胁情况,仅有通用数据是不够的。有效的安全措施必须结合和解指标(我们是否已经遭到黑客攻击?)、战术、技术和流程(我们是怎样被作为攻击目标的?)、身份情报(谁在攻击我们?为什么?)、弱点情报(我们已由哪些弱点被利用?)和攻击归因(是商品还是作为目标?)。只有关注威胁情报,分析师才能将其宝贵和有价值的时间用于对最重要的事件进行调查,优先考虑与最强大的对手和最大商业风险有关的事项。试图在防御黑客攻击时玩打地鼠的游戏,很可能让你疯狂并且破产。相反,在对您构成实际风险的安全威胁中,您应当识别最重要的资产和关注最稀缺的资源。

2.盘点资产并持续监控。

如果安全可以计算,则库存就是分母。公司必须以最简单的形式识别和监控其相互关联的资产:开发者是否在您未知的情况下操作了1000个虚拟机?存有您最有价值的数据库服务器上运行的是哪些应用程序?员工是否将新设备与您公司的网络相连?您偏远的子公司是否有了新的合作伙伴?您的HVAC(供热通风与空调)系统是否以某种方式与您的销售终端相连?定期评估、花费数周时间准备的报告以及需要复杂解释的结论,都暴露了安全缺陷。公司必须对资产进行动态、实时地盘点,持续地监控,并以简单直观的方式向安全和运营团队呈报。

3.把安全作为公司使命之一。

目前公司普遍采用的安全措施关注合规性、控制成本、在核心业务之外并且只是委托C级高管进行兼管。在这样的团队工作,毫无乐趣可言,并将在与21世纪敌人的交手失败。因为这些敌人深知当海盗要比当海军有趣多了。只有人人都起来防御,防御才会变得更有效。新的安全模式需要有使命感和领导力,以确保我们能有最棒的防御者来抵御最厉害的攻击者。安全工作无法再委托他人进行,安全团队的使命必须与公司的使命紧密相连。

4.积极主动(而非被动)地捕获网络敌人并及时删除。

“积极防御”被戏称为“反黑”,公司采取进攻策略是不明智的做法:首先,未经允许进入他人的网站是非法的,即便你的目的只是为了防御自身;其次,在未处于主导地位的情况下升级软件是不明智的,即使是最大型的公司最终也会在与国家或州资助的敌人的交手中失败。因此,若您不能在对方的地盘上攻击他们,您可以且逐渐需要在自己的网络中对敌人进行积极防御。这意味着,假设不仅仅是您处于危险地带,您的敌人也深陷其中,您必须搜寻隐秘、持久的敌人,以便在其造成破坏前遏制和修复风险—此举大幅减少了从发生到检测违约事件所需要的时间(目前平均需要200多天)。

在频频遭受毁灭性攻击的时日,哭喊着“天塌了、未来互联网作为商业和通信领域可以信赖的伙伴已岌岌可危了”是件很容易的事情。但是,根据近年来的事故数据推断互联网安全问题将会导向毁灭是错误的。我们中的太多人与此有着太多的利害关系,高管、企业家、软件开发人员、安全团队和投资者联合起来扭转局势,我们就能够全副武装地抵御下一代的敌人。

纳撒尼尔·C·菲克(Nathaniel C. Fick)| 文

纳撒尼尔·C·菲克是前任美国海军陆战队军官,美国首个端点响应检测平台Endgame的CEO。他著有《一颗子弹:海军军官成长记》一书。

译言网网友 tournesols | 翻译 齐菁 | 编辑

相关阅读

已有0人发表了评论

哈佛网友评论