网络安全 频道

企业防御APT攻击应掌握四大关键点

  【IT168 编译】随着IT基础架构的不断升级变化,传统的安全防御措施开始显得捉襟见肘。而在面对未知威胁和高级持续威胁(APT)的挑战时,笔者不禁想到富兰克林的著名格言:一分预防胜似十分治疗!

  这听起来是很明智的建议!然而,很多企业的作法却是添加了越来越多的安全工具到其安全资源池来保护企业的数据,包括在云中、内部系统以及移动设备中的数据。其实这让问题变得更加复杂化,笔者最近遇到一位首席信息安全官使用了来自35家供应商的80款安全工具,而这并不少见。

  所有这些安全工具都让首席信息安全官无法清楚了解其安全基础设施的问题所在。他们使用杀毒软件来清除恶意软件,防火墙来阻拦攻击者,还有很多其他解决方案,但这些系统并没有以智能的集成的方式在整个混合IT环境进行相互通信。

  你可能会认为,企业越来越多地投资于新的安全和防御技术可以减少威胁。但正是由于它们之间缺乏真正的融合,而带来的却是相反的效果。与此同时攻击者也在采用新技术,在复杂的APT攻击时代,我们看到越来越多的安全泄露事故以及被攻击者入侵的企业。

  根据2014年Ponemon研究所的调查显示,大多数受访企业表示有针对性攻击是最大的威胁,单从品牌价值来看,这就给他们造成平均940万美元的损失。而这些泄露事故的成本继续在增加,特别是随着企业转移数据到云计算和混合云基础设施后。根据Ponemon的《2014年数据泄露成本调查报告》显示,企业数据泄露成本已经从540万美元提高到590万美元。

  对于真正的APT威胁防护,请记住下面这四个关键点:

  1.预防是根本

  预防并没有奏效,因为使用的主要安全工具(防火墙和杀毒软件)更多地依赖于反应性基于签名的方法。这些工具的制造商看到攻击者绕过这些工具,并宣传杀毒软件毫无用处,而这并没有让很多人惊讶。

  安全专家在三年前意识到这方面的发展,并开发了新类型的预防技术。这些技术是基于行为引擎、深度包检测以及新的内嵌阻拦方法。当部署在企业时,这些技术非常有用。当结合新的安全智能检测,它们会变得更加有效。

  例如,一个主要医疗服务提供商最近部署了基于行为的方法来保护敏感的患者数据,尽管杀毒解决方案和下一代防火墙等传统工具都部署到位,但该技术还是检测到了超过100个高风险感染。该公司通过部署这个方法可以缓解这些感染,并只带来最小的运营影响,现在还可以进行事件分析和解决方案调优。

  2.安全智能是支柱

  数据是安全的核心,也是网络罪犯的主要目标,大数据分析是解决下一代信息安全问题的基础。

  例如,一个大型石油企业在一天内发现25次试图数据攻击。阻止这些泄露事故是基于数据、异常行为、应用程序的不正常行为以及其他细微差别。通过利用这些数据攻击尝试来了解潜在的攻击者,他们可以延长数据的保存期限。

  好消息是,通过分析工作,企业限制可以筛选海量数据(企业内部和外部)来发现隐藏的关系、发现攻击模式、阻止安全威胁,以及优先排序补救工作。安全情报需要一个包罗万象的系统(不只是传统的日志记录)来摄取大量数据,以及应用行为分析来实际确定泄漏事故可能发生的时间。

  3.集成实现保护

  企业安全防护主要是保护其人员、数据、应用程序和基础设施(云端或内部部署)。问题是,随着时间的推移,企业已经部署了几十个终端产品来保护每个领域,首席信息安全官需要一种方法来管理对数据的控制以及对系统的访问。安全情报可以跨这些不同的安全领域和各种安全工具提供分析仪表板,这是整合的第一步。

  整合的真正目标是,你的所有安全功能可以协调一致地工作来阻止攻击。例如,特权用户的异常行为会触发警报,让你可以阻止一个网段。或者,移动设备上出现恶意软件可以让你停止对顾客的身份验证。或者在应用程序中检测到漏洞会让你阻止网络中对这个漏洞的利用。这些都是安全整合的例子。

  对于真正的集成保护,部署技术和解决方案作为基础设施的一部分是不够的,技术必须无缝地与流程和人员来实现保护。

  4. 开放性很重要

  企业需要能够跨各种新的和现有安全技术共享信息和触发行动。很多这些安全投资包括移动和云计算功能。根据IBM的2013年CISO调查显示,70%的安全高管表达了对云计算和移动安全的关注。企业需要在云计算提供传统IT环境相同水平的安全性。

  这似乎有悖常理,但云计算和移动实际上会提高安全性。随着企业部署新技术(现在是云计算、社交媒体和移动设备),你可以更容易从一开始就建立安全性,让你可以实时控制和更改应用程序、权限和身份验证过程。

  通过学习上面这四个关键点,银行可以关联实时和历史账户活动来发现异常用户和应用程序行为,阻止可疑交易和发现欺诈行为。全球能源供应商可以每秒分析100万个事件,每天超过850亿个事件,以确保其操作更加安全,以及符合合规性要求。国际服装公司可以使用安全情报来发现内部人士窃取重要的产品设计。

  简单地说,对于安全性,并不只是关于“一分的预防”,还应该将安全看作是一种免疫系统,可以通过成熟的预测分析变得更强,并提供企业范围的风险视图,以及不牺牲创新能力的情况下,拥抱移动和云计算。

2
相关文章