在过去的一年里,我们见证了许多被大肆报道的攻击,足以改变我们对于恶性软件究竟有多致命的看法。是的,我们早就知道病毒和蠕虫是非常危险的,但我们还是惊诧于恶性软件和联合攻击在对付显赫机构目标时是如此的具有效率。首当,我们看到的是从Google开始攻击的极光行动,然后还对准诸如Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman, 和 Dow Chemical这样的一些公司进行攻击。
然后,如果极光行动造成的麻烦不够,我们随后很快就见识到了Stuxnet,瞄准产业控制系统进行攻击,并向我们展示科学幻想小说中的情节是可能从书中来到现实中的。Stuxnet经过特别设计,在发现攻击目标之前不断扩散,随后通过修改传送给物理设备的指令集对目标进行破坏。它的确是一件不可思议的作品。Stuxnet按地理区域扩散,并根据所遇到的环境决定采取怎样的行动。这是我们以前从未见过的情况。
这些事件本不应让人们感到如此惊讶。恶意软件的效力和复杂性这些年来一直在上升。它们最初只是依靠一两个弱点进行繁衍扩散的病毒和蠕虫。但在我们看到混合型威胁时,在恶意软件开始利用许多不同的攻击向量进行扩散时 – 软件弱点、电子邮件、文件共享、即时通讯等等,一切都已经开始发生变化了。另外,这些年来,安全专业人士曾发出警告,攻击者和恶意软件在方法上变得越发隐秘。但许多人并没有听从这些警告 – 直到这一年。
现在,恶意软件已表明即使是最富有、最具安全头脑的公司也可像网络一样成功地被攻击,不管位于哪里。回过头再看看Stuxnet,它已证明,仅仅对互联网上的网络进行物理或虚拟分段处理并不能使网络变得安全。攻击者可攻击专门的制造业、运输业或其它非互联网连接的网络。对于一个用户来说,它所需的就是点一下错误的链接、或插入一个受感染的USB驱动器或其它什么设备,之后攻击者就会抵达他们的目标。具有讽刺意味的是,这些“非连接”或分段的网络即使进行了防御,也经常是处于最弱的防御状态,这是因为机构们认为他们是安全的,因为他们是在互联网的边上。这种虚假的安全感觉导致不正确的强硬和修补态度,使这些机构没有采取必要的措施来保护这些网络。
这样的非连接和分段网络并不是个别现象。我们几乎在每一个至关重要的基础行业都看到这种现象:金融、制药、制造、公共事业、以及许多其它行业。而如果对于攻击者来说抵达未与互联网连接的网络分段是可能的,那么对于他们来说你认为要攻击标准服务器、端点、和传统的公司网络有挑战性吗?在太多的实例中,这种事实在是太容易了。
这并不是说无事可做了。肯定是存在很多可做的地方来帮助你提升基础设施的安全的。如下是我们认为应当重点关注的6个方面:
安全意识。员工是最前线。他们需要接受安全意识培训。我们首先提到安全意识是因为,如果用户经常下载他们不应该下载的软件、浏览他们不应该浏览的网页、打开他们不应该打开的链接和附件,那么要想保护重要系统和数据的安全几乎就没什么可以做的事情了。终端用户犯下这些问题中的任一个错误都可能在建造的最坚固的信息安全之船的船体上产生气孔。这也是为什么具有安全意识的机构正是更加安全的机构的原因。
捕获详细记录网络安全事件的数据。你可能已在这么做。即使你不是集中管理安全事件数据,你也很可能握有比你所认识到的要多得多的安全数据散布在防火墙、应用、路由器和其它日志资源当中。大多企业都拥有庞大的对于确定哪类事情正在他们的网络内发生非常有用的数据。问题是他们不知道如何汇聚这些数据并用之于行动。这就引出下一点。
利用收集到的安全数据。Verizon Business 公司2010数据裂口调查报告发现,86%的数据裂口受害者其实在他们的审计日志中已存在裂口证据,61%的受害者自己本身没有察觉到这些裂口 – 是经第三方告知才知晓。多么令人尴尬的局面!不过幸运的是,这是一个可以得到缓解的安全风险。而当涉及合规问题时,许多机构的境遇并不那么好。根据2009 Deloitte年度全球安全调查报告,过度的访问权限是最常见的外部和内部审计发现的问题。这也是为什么你需要准备好处理流程和可能需要的必要的技术,以耕耘你的安全日志并准确定位保持基础设施安全所需要的信息。
威胁模型。这是一种目前只有非常少的机构涉足的做法。测定有价值的数据都放在哪里和行走的路径。员工,比如开发人员,是把数据带回家吗?如果有web服务器受到攻击,那么攻击者需要费多大劲才能进入到后端数据库?你知道哪类攻击者会想渗透到你的系统中?他们觊觎的是哪些数据?你如何将对这些数据的访问只限制在那些有工作需要的人员之中?了解清楚所有这些问题的答案,并采取行动降低风险,会简化安全团队保护企业的能力,甚至还会节省这么做的成本。
弱点管理。机构们可采取的最有成本效益的改进安全的方法之一是采用弱点管理项目。考虑使用网络脆弱性评估工具对网络分段进行扫描以确定系统和相关补丁的级别,要确保软件补丁的级别是最新的。这种做法应在合理的时间段内重复进行,比如每周、每月或至少每季度进行一次。
执行安全策略。安全策略,诸如关闭孤儿ID帐户、运行脆弱评估扫描、维护充分的应用和安全日志、口令变更等,如果没有得到执行那么所有这些策略就都近乎是无用的。需要让员工明白公司对待这些策略是严肃认真的。并且,在可能的情况下,使用自动化措施来帮助执行安全与监察合规策略。在这方面,安全团队可起大作用。
在了解安全威胁已变得愈加险恶的同时,记住安全防范措施也已变得愈加强大也是十分重要的。关键是要采取必要的措施来保护你的基础设施和数据,而这也是大多数企业所欠缺的地方。犯错的代价将会变得日益高昂。