过去的一年发生了太多的数据泄露事故,即将步入2012年,相信这些深刻的教训会让企业意识到安全的重要性,做好安全监控,以找寻攻击者入侵企业系统的痕迹。
网络监控公司RedSealNetworks公司首席技术官MikeLloyd表示,为了更好地防范和检测攻击,企业需要整理其网络,找出关键信息的位置,并利用这些信息来保护盒监测其关键资产。RedSealNetworks公司发起的一项调查发现,10个安全从业人员中有7个认为他们的网络因为设备配置不当而处于风险之中,而超过一半的受访者并不具备制定衡量安全性标准的知识。
“我经常会提到孙子兵法的内容:不要这么担心你的敌人…应该了解地形和了解自身情况,知己知彼百战百胜,”Lloyd表示,“IT也是同样的两个原则:了解网络情况,以及了解网络中的端点。”
在2012年,企业应该将更多的东方哲学应用到其安全实践中:
1、了解自身情况
企业应该了解其系统和网络的情况,主要有两个原因:首先是为了找到他们可以监控的信息来源。企业不能只是监控防火墙日志、网络数据和员工使用模式,应该转移到分析访问日志、域名请求和任何地理定位数据。
RSA首席安全官EddieSchwartz表示,获得这些信息并不容易,因为安全团队可能不会管理问题资产。
“你看看一些企业,他们已经给自己设了路障,”他表示,“他们不能从Windows团队或者防火墙团队获得这些信息,而这些信息与解决其安全问题有关,应该是其资产的一部分。”
Schwartz表示,找到数据来源,然后向管理层要求这些数据以用于监测网络安全。
2、了解网络布局
使用各种日志信息和流量数据,下一步就是找到所有进出网络的方式,以及每个端点。
听起来很容易吧?实际上并不是如此,Lloyd表示,一半的安全从业人员不知道或者没有办法知道哪些资源可以从网络外部访问,根据RedSeal最新调查报告。
“很多公司会说,‘在我们分析我们的网络之前,我们不知道我们到底不知道什么’,”他表示,“收集有关网络的信息并不是简单的任务,并且大多数企业不知道其网络中的每一个设备。”
了解设备以及资产间的连接模式能够帮助企业了解攻击可能从哪里来,以及检测奇怪的使用模式。
3、了解在哪里防卫
在找到监测信息来源和了解网络布局情况后,企业需要通过了解资产的业务功能来部署监测和防御。
当事件响应者发现攻击,他们需要知道攻击者可能去哪里以及哪些数据处于危险之中。
“例如,漏洞扫描仪就可以派上用场,”他表示,“因为控制了资产的攻击者将会知道哪里是网络的薄弱环节。”
4、了解敌人情况
业界专家对于全球威胁情报对企业监测计划的重要性的意见不统一。
ReaSeal公司更侧重于帮助企业了解和保护网络,而并没有将重点放在监视攻击者上。而RSA则侧重于基于情报的安全,主要针对大型企业。
“安全应该变得更加敏捷,应该以情报为基础,”RSA执行主席ArtCoviello表示,“这并不是关于你是否将受到攻击,而是你应该如何做出反应。”
对于相信攻击者将会特别针对其系统的企业,跟踪威胁将是关键。
5、衡量安全性,而不是其他
Lloyd表示,有些公司衡量了错误的东西,这可能导致一些问题。
使用安全更新、病毒定义更新或者其他工作的数据并不能让公司更安全。而应该将安全团队放在“跑步机”上,让他们跑得更快,来达到预期效果。
“安全是很难衡量的东西,”Lloyd警告说,“你需要衡量的是姿态---你离下一次威胁还有多远。”
企业应该衡量提高安全性的指标,例如修复漏洞的数量,“然后的诀窍就是使其可量化和可重复的,”他表示。