技術(shù)革新在改變著現(xiàn)代生活的方方面面�,網(wǎng)絡(luò)安全威脅也在亦步亦趨并且常常超出IT部門對(duì)關(guān)鍵數(shù)據(jù)保護(hù)的安全能力����。那些使用惡意軟件的人,在開源代碼中尋找漏洞�、傳播病毒、入侵網(wǎng)絡(luò)����、盜取數(shù)據(jù),無所不用其極�����。網(wǎng)絡(luò)攻擊來自于四面八方,IT部門在制定新的安全戰(zhàn)略時(shí)面臨艱難�����。
攻擊者通常會(huì)部署一系列的攻擊步驟���,每一步對(duì)于熟悉內(nèi)幕的安全人員來說都會(huì)留下清晰的痕跡�。當(dāng)安全事件發(fā)生時(shí)���,掌握準(zhǔn)確威脅信息的安全團(tuán)隊(duì)能夠發(fā)現(xiàn)和阻擋攻擊。這些威脅信息的來源包括商業(yè)信息����、用戶行為習(xí)慣分析和企業(yè)內(nèi)部環(huán)境信息,基于這些信息安全團(tuán)隊(duì)能夠洞察入侵者的操作并迅速地將其拒之門外���。
安全牛本期安全講堂為大家?guī)怼叭绾问褂镁W(wǎng)絡(luò)信息來擊敗入侵者”�。要想迅速的制止攻擊并保護(hù)重要數(shù)據(jù)�,必須實(shí)施高人(攻擊者)一籌的安全戰(zhàn)略,并將其覆蓋到擴(kuò)展網(wǎng)絡(luò)��。對(duì)付一次完整的攻擊過程(攻擊前、攻擊中和攻擊后)對(duì)于安全人員來說是一項(xiàng)邏輯性和周期性的工作����,因此仔細(xì)的檢查每一個(gè)階段非常有助于安全工作。
攻擊前
安全人員要對(duì)任何可能出現(xiàn)的漏洞予以警醒��。以前普遍認(rèn)為�����,安全就是防守�����,但現(xiàn)在的安全人員正在建立更加智能的手段阻止入侵者�����,這種智能的手段需要依靠各種企業(yè)環(huán)境的信息�,包括但不限于物理及虛擬主機(jī)、操作系統(tǒng)�����、應(yīng)用程序���、系統(tǒng)服務(wù)���、通信協(xié)議�、用戶�、內(nèi)容和網(wǎng)絡(luò)行為?��;趯?duì)這些信息的了解����,安全人員甚至能在攻擊開始之前采取措施����。
攻擊中
時(shí)間是關(guān)鍵因素����。安全人員必需能夠識(shí)別和理解威脅并知道如何快速制止這些威脅,從而最小化信息暴露的程度��。使用的相關(guān)方法包括內(nèi)容檢測(cè)�、行為異常檢測(cè)、用戶環(huán)境�����、設(shè)備情況、位置信息�,并了解攻擊發(fā)生時(shí)的關(guān)鍵應(yīng)用程序。
攻擊后
安全人員必需理解發(fā)生了什么�,如何降低可能的損失。高級(jí)取證及評(píng)估工具有助于安全人員了解這些事情:攻擊者在哪里發(fā)現(xiàn)的漏洞�?有沒有可能預(yù)防這次入侵?更為重要的是����,事后的安全追溯可以通過持續(xù)的收集和分析數(shù)據(jù)以建立安全消息庫,從而識(shí)別�、評(píng)估、控制和補(bǔ)救那些數(shù)星期乃至數(shù)月都沒有檢測(cè)出來的入侵�。
信息和理解是任何防護(hù)戰(zhàn)略的兩大關(guān)鍵要素。網(wǎng)絡(luò)安全人員一直都在更多的了解攻擊者�����,他們?yōu)槭裁春腿绾伟l(fā)起攻擊的�。提交無法從計(jì)算環(huán)境獲得的深度信息,此為擴(kuò)展網(wǎng)絡(luò)的價(jià)值所在����。與反恐類似��,信息或說情報(bào)是制止攻擊再次發(fā)生的關(guān)鍵����。
與真實(shí)的戰(zhàn)場(chǎng)一樣��,網(wǎng)絡(luò)空間的戰(zhàn)爭(zhēng)也無法僅依靠敵我雙方的資源數(shù)量來決定勝敗�。量級(jí)相對(duì)較低手段較少的對(duì)手,能夠令量級(jí)比自己大的對(duì)手遭受更大的破壞��。在這種不對(duì)稱的環(huán)境中���,信息是應(yīng)對(duì)威脅最重要的資源�����。但是如果不去優(yōu)化信息的結(jié)構(gòu)性和可操性���,信息本身是帶不來什么益處的��。
舉一個(gè)信息優(yōu)化的例子:我們知道網(wǎng)絡(luò)分析可以收集到用戶登錄和登出系統(tǒng)時(shí)的IP流量信息�����,安全人員可以據(jù)此進(jìn)行用戶身份和使用的網(wǎng)絡(luò)環(huán)境進(jìn)行判斷。從而幫助安全人員從多種信息來源獲取信息���,這些來源包括網(wǎng)站����、網(wǎng)絡(luò)�����,以及公共和個(gè)人之間的信息交換���。
最佳的安全實(shí)踐包括對(duì)整個(gè)攻擊過程(攻擊前��、中���、后)的綜合性威脅控制戰(zhàn)略,以及發(fā)現(xiàn)威脅和防護(hù)�、補(bǔ)救。最后�,從結(jié)構(gòu)性和可操性的層面上利用各種威脅相關(guān)信息,將建立一個(gè)更加綜合的安全防護(hù)環(huán)境����。
關(guān)于作者:GregAkers����,思科安全可信部門高級(jí)副總裁�,二十年以上高管經(jīng)驗(yàn)。
