把发生网络安全事件当成 “新常态” 的公司就是好公司。
卡巴斯基实验室最近对 250 名顶级安全官做了问卷调查,结果显示,86% 的受访者认为网络安全事件是无可避免的。当今网络环境的复杂性保证每家公司都在被入侵的路上。云采纳催生出横跨不同地点和团队的混合环境,容器的使用,还有可渗透的边界——所有这些因素都扩大了攻击界面,挑战我们现有的威胁管理方法。
造船技师预期故障并为此作出计划,我们也应当如此
安全行业显然可以在事件管理上做更多工作。尽管我们花费数十亿美元可能防止了大量坏事发生,但导致灾难性损失的重大数据泄露事件一直在增加,随之而来的就是曝光记录和敏感客户数据泄露事件的指数级增多。为什么会这样?因为与其他行业不同,我们并没有为失效做出计划。
以造船业为例。造船技师通过分隔船体和限制进入引擎室来控制事件发生时的损害,为故障做好工程准备。这种做法从 15 世纪就开始了,一直沿用到现代舰船身上。造船技师的经验也可应用到现代 IT 安全中。下面列出的几个安全原则就反映出了这一点:
1. 造船技师假定船只总会遭遇漏水,所以他们打造的船体可以防止单一漏点导致整船沉没。同理,假定企业环境中总会发生安全事件,为此分隔企业网络。如此一来,即使恶意软件进入了测试环境,开发、生产和隔离区等其他敏感环境不会受到影响。缺乏分隔可使攻击者一旦越过边界就很容易移动至关键区域,就好像如果船体未做分隔,漏水会很快漫延整船一样。
2. 负责维护船体的员工定期检查渗漏点或脆弱点,保证贵重货物和船员的安全。同样地,现代安全团队必须谨慎监视和修复,防止边界上众所周知的缝隙和潜在的重大问题。
3. 舰船最敏感的工具都在引擎室里。为保护您最贵重的资产,务必筑好关键 IT 资产的护壁,确保其不受网络入侵的伤害。
4. 船上总有船员不间断瞭望,监视一切情况,在必要的时候直接修正航线。与之类似,有必要维护从整个数据中心直至应用层的完整可见性。在可以 “改变航向” 或设置任何策略或控制之前,必须获得对愈趋复杂且动态的生态系统的可见性。
5. 让船员不能随便登上舰桥是一个重要的安全措施。同理,网络世界中建议设置基于用户身份的策略,确保公司员工、承包商和远程用户只能访问自己有权访问的东西。这么做的结果就是您的业务关键应用只能被已授权用户访问,获得更高的安全性。
仅过去两年间,就有多个案例直指可见性与分隔缺失是大规模数据泄露的头号元凶。比如 2017 年影响 1.48 亿消费者的史上最大网络攻击 Equifax 数据泄露事件,美国众议院监督与政府改革委员会对此事件的报告就提到,该公司未能实现基本的安全协议,包括文件完整性监视与网络分隔,使攻击者得以访问并删除了大量数据。
Equifax 在良好分隔策略上的缺失,使攻击者在持续 75 天的攻击行动中得以访问十几个含有个人可识别信息 (PII) 的数据库。WannaCry,史上最大型恶意软件感染,同样本可以得到更好的遏制——如果受害公司为自己的系统事先修复了其利用的 MS10-010 漏洞。然而,公司企业并未意识到自己存在需要修复的漏洞,或者没有能力去修复。即便没打上补丁,只要部署了网络分隔,受影响企业也本可以实施安全策略并阻止该蠕虫在整个环境中蔓延的。
预期泄露,打补丁,分隔
Equifax 和 WannaCry 这种规模的威胁,人们很容易假定攻击者采用复杂攻击模式,或者利用未被发现的新漏洞。然而,这些攻击的巨大成功是建立在没打补丁的系统和缺乏网络分隔上的。认清混乱终会到来的现实,预期可被网络分隔和更好数据中心可见性阻止的攻击,公司企业便没那么容易被单点入侵导致整船沉没,可确保公司的长治久安。
卡巴斯基实验室调查: