抵御網絡攻擊的頂級安全工具
責編:penggao |2015-06-29 11:22:35網絡攻擊是全球性威脅,而美國企業是頭號目標。本文中列出了安全專家認為最有價值的安全工具,用以抵御網絡攻擊。
在接受采訪的安全專家中,很多專家稱,對于安全問題,并沒有高招。貝爾維尤大學網絡安全研究主任Ron Woerner這樣說道:“并沒有最好的安全工具,這真的取決于情況、環境和個人喜好。當然,所有網絡、IT和安全專業人員的工具包中必須具備某些要素,其中最重要的是知識;也就是說,在哪里更多地了解特定的主題、技術或工具。我們不太可能知道所有一切知識;所以應該專注于從哪里獲得高質量的指導意見和信息。”
Woerner推薦了兩個網站:www.howtogeek.com 和blogs.msdn.com/作為參考;以及兩個工具集:SysInternals和Windows GodMode。前者是簡單的Windows工具組,后者是控制面板中已經有的管理應用程序。
中佛羅里達大學計算機科學和電氣工程助理教授Yier Jin也認為知識是關鍵,“網籃球意識是最好的工具,很多數據泄露事故都是由缺乏安全意識的內部人員所造成。而對于工具,我推薦微軟增強減災應急工具包(EMET),這是每個公司都應該擁有的很好的工具”
戰略第一,其次是工具
Forrester研究公司高級安全/風險分析師Heidi Shey建議企業首先評估其安全成熟度以及其環境面臨的風險。否則,他們總是在追逐最新、最強大、最熱門的必備工具。在選擇工具之前,必須制定戰略。現在有很多模型可用于自我評估,包括COBIT、ITIL、NIST網絡安全框架;SANS協會Top 20 Critical Security Control,以及ISF的2013年Standard of Good Practice(SOGP)。
Shey表示:“評估安全成熟度的目的是幫助企業了解安全計劃和環境當前的情況、如何劃分責任,并確定提高安全成熟度的步驟。從而幫助企業篩選可行的安全工具。”
“信息安全正處于危機之中,改善這種狀況的主流做法是遷移到基于風險的模型,”隱私專業人員國際協會(International Association of Privacy Professionals)首席技術官Jeff Northrop稱,“企業必須首先進行適當的風險評估,而這需要數據視圖,大多數大型企業缺乏這種信息,而不能遷移到基于風險的模型,這是一個問題。”
我們需要了解收集了哪些數據;數據位于哪里;數據是如何被架構、分類和使用以及誰可以訪問這些數據。有些供應商已經認識到對其保護的數據提供更多信息的需要,企業可以利用他們的平臺來擴展其產品來滿足這方面的需求。Northrop推薦Informatica的Secure@Source;IBM的Q-Radar、HP的ArcSight和Splunk。他預計Oracle、SAP和Tableau Software等供應商,以及圍繞、Informix和Teradata等數據供應商很快也會加入這個陣列。
工具:管理
Northrop Grumman公司副總裁兼首席信息安全官Mike Papay稱,“對于破壞性惡意軟件和內部人員造成的數據丟失的情況,企業應該部署由內而外提供保護的安全工具。”
“我推薦特權身份管理(PIM)工具,它可控制管理密碼,在某些情況下,可以共享業務密碼和登錄憑證,”Forrester公司副總裁兼首席安全/風險分析師Andras Cser稱,“這些工具可以有效地防止數據泄露事故,讓系統管理員可以不間斷地訪問本地和云計算[注]工作負載。PIM工具會檢查和更改關鍵工作負載的密碼,這可讓攻擊者獲取的管理員和根密碼毫無價值。此外,PIM會密切監控和記錄所有對機器的程序或人類管理權限。”
“所有公司都應該有這三個工具:補丁管理、數據備份和全磁盤加密,”圣地亞哥市首席信息安全官Gary Hayslip稱,“這些工具提供了基本的網絡安全基礎,讓企業可以繼續安全地發展和響應事故。然后,隨著收入流的增加,他們可以添加更多安全控制。如果只能選擇其中一個,我會選擇補丁管理。因為這可以保持IT資產的更新,更好地阻礙攻擊者。然而,誰也不能保證,一個解決方案可以解決所有問題。”
工具:云計算、移動
TribuneMedia公司高級副總裁兼首席信息官[注]David Giambruno建議企業轉移到軟件定義數據中心[注]。“我們正在利用VMware解決方案的微分段功能,通常情況下,這在硬件方面很具有挑戰性,而在軟件世界,一切都像是一個文件,你可以保護一切事物,安全會如影隨形。”
Giambruno部署了Cyphort來查看云計算中的東西流量。這個基于虛擬機的設計提供快速部署,并與軟件定義數據中心整合。
“現在一個有趣的新領域是使用技術來在用戶和SaaS[注]解決方案之間提供一個層,讓企業可以管理身份驗證和加密,并保存密鑰,同時維持軟件即服務[注](SaaS)解決方案的全部功能,”John Deere全球安全戰略師兼安全架構師John.D.Johnson博士稱,“另外還有新的云文件存儲和同步解決方案,其中添加了加密、數據丟失防護和細粒度報告。”
他補充說,對于管理移動設備中的數據,他建議企業應選擇保持企業數據在容器中并防止數據移動或被記錄的產品,例如Bluebox,并部署企業規則。這可以在更可信的方式實現BYOD[注],而不需要強迫用戶遵守完整的移動設備解決方案。
監控:縱深防御
根據Gartner副總裁兼著名分析師Neil MacDonald表示,信息安全的關鍵是縱深防御,其中包括防火墻、補丁修復、防病毒、SIEM、IPS等。MacDonald建議客戶首先刪除Windows用戶的管理權限,然后部署端點監測和響應(EDR)解決方案,持續監控和分析端點狀態。
他表示:“你不能依賴于無法阻止攻擊的技術來在事后檢測到攻擊,行業數據顯示,一般攻擊在被發現之前會保持隱蔽長達240天,而且,大多數攻擊不是企業自己所發現,而是外部人員告知企業已受攻擊。”
MacDonald強調,EDR解決方案提供持續可視性,當結合連續分析功能時,這可以幫助企業縮短攻擊者停留時間。單靠預防來抵御攻擊是徒勞的,畢竟,最終用戶是無法修復的軟目標。更重要的是快速檢測和響應攻擊。
“對于服務器工作負載,我會用應用程序控制解決方案來替換反惡意軟件掃描,”他表示,“以阻止所有未經授權代碼的執行,而這可以幫助杜絕大多數惡意軟件。這應該是保護數據中心和基于云計算[注]的工作負載的主要安全控制。”
PCI安全標準委員會首席技術官Troy Leach同意稱:“PCI標準倡導對安全采取縱深防御的做法。根本的策略很簡單:部署針對不同風險載體的安全控制,幫助企業減少數據泄露事故發生的機率,保護持卡人數據的安全。但這個戰略的成功通常還取決于監控做法。”
Leach認為,通過監控安全控制提供的性能和數據,可以改進安全態勢和技術操作。連續監控是讓你實時了解安全情況的關鍵機制。企業應專注于監控關鍵領域的數據,例如控制對持卡人數據訪問的系統以及在后臺運行過期軟件或安全簽名的電腦。
Leach稱:“有效的監控可以讓安全團隊保持靈活性,隨時準備應對新出現的風險,同時幫助控制投資和合規的成本。PCI委員會建議企業不斷評估其監控安全控制的有效性,讓安全團隊可及時應對新威脅。”
監控:連續監控
弗吉尼亞理工大學IT安全實驗室主任兼安全官Randy Marchany也認為,與常見的外圍防御戰略相比,整體安全策略更有效。靜態外圍防御的問題在于,大多數企業專注于入站流量,而不是出站流量。連續監控則專注于流量和日志分析。
連續監控提供了一種方法來有效檢測、遏制和消滅攻擊。Marchany認為連續監控的目標應包括:監控到可疑網站的出站流量;搜索網絡內受感染機器;并利用分析來確定敏感數據是否泄漏。
他推薦FireEye惡意檢測設備、Netflow數據(其中提供了有價值的信息來幫助企業確定內部及其是否受感染),以及ARGUS Software、SiLK(System for Internet-Level Knowledge)等工具,還有Bro網絡安全分析儀。
Nemertes Research首席執行官Johna Till Johnson建議企業專注于高級安全分析(ASA)(+微信關注),這是新興的安全產品和服務類別,提供對環境的實時洞察,以發現潛在數據泄露或漏洞。ASA包含現有安全事件/事故管理和監控(SIEM),并添加了大數據[注]分析功能。它還涵蓋了早期的取證和入侵檢測系統/入侵防御系統(IDS/IPS)。這些功能包括用戶行為分析—可檢測、報告用戶可疑行為,以及可視化功能。
為什么企業需要ASA以及UBA?為了抵御多因素威脅,特別是來自網絡內的不知名攻擊。通常情況下,檢測高級持續威脅的唯一方法是檢測異常行為,如果你不知道正常行為是怎樣,那么這會很有挑戰性。而有了UBA,你不需要知道正常行為是怎樣,該系統會幫你。
Johnson推薦Agiliance、Blue Coat、Damballa、FireEye、Guidance、HP ArcSight、IBM、Lastline、LogRhythm、McAfee/Intel和Splunk等供應商的ASA工具。
人是關鍵
“如果你想實現真正的安全性,人員是關鍵,”德克薩斯州信息資源部首席信息安全官Eddie Block稱,“他們負責配置防火墻、更新防病毒軟件、修復服務器以及其他各種工具,來最大限度地阻止數據泄露和入侵。他們在前線審查日志,查找其中的可疑線索,然后弄清楚發生了什么事。如果部署了合適的人員,在過去幾個月發生的很多大規模數據泄露事故原本可以在早期就被發現,日志文件并沒有什么趣味,但如果你真正想了解你的安全狀況,應該在日志服務器中安排一個充滿好奇的人。”
Forrester研究公司首席安全/風險分析師Rick Holland稱,“我認為最好的安全工具是協作工具,這些工具可以讓我們分散的員工更好地溝通和協作。我們需要投資于這些工具,以提高人員的工作效率和靈活性。”
Lockheed Martin公司網絡安全和高級分析主管Guy Delp認為,重點應放在招募合適的網絡安全人才,他們可以利用現有投資和把握安全的各個方面。他向企業提出這些問題:網絡可視性問題是否應該解決?現有工具是否得到充分利用,以及基礎設施內是否部署有開源工具。
“在投資于關鍵人才時,考慮三個基本標準:平衡性、適應性和影響力,”他稱,“知道任務的技術方面并不夠,關鍵人才還必須是領導者,共享信息、指導和激勵他人。最成功的人才可以同時了解其環境的技術和政策方面。同時,適應能力也很重要。”
SANS研究所首席信息安全官Frank Kim認為,對于高級威脅,可檢測攻擊者和異常活動的安全功能更加重要。因此,威脅情報和信息共享是現代網絡防御的重要方面。但這并不只是分享攻擊指標,也涉及高級分析和挖掘內部及外部數據源的能力。構建數據科學能力來智能分析海量信息,為企業提供了可操作的信息,讓安全團隊能夠更迅速地作出反應。而對于保護關鍵資產,關鍵在于部署擁有合適技能和專業知識的合適的人員。
加州黑斯廷斯大學創新法律研究所兼職教授Jill Bronfman稱,在涉及員工和消費者信息的情況中,例如醫療保健、金融和/或企業及個人數據,企業最好安排跨職能安全專家團隊負責。她建議提前成立小組,其中應包含法律、IT、CTO、CIO[注]、人力資源、風險管理、公共關系/市場影響、消費者關系、監管/政府和相關供應商,然后對他們培訓事件響應計劃。這里的關鍵是確定負責每個職能的個人,并在事故發生時,提供可操作的清單。