安全攻防:縮小攻擊與防御差距的4個步驟
責編:admin |2014-08-19 15:24:46從近期出現的數據泄密新聞中,我們看到由于企業未能抵御安全攻擊,使得黑客攻擊成功,并竊取了這些企業的重要數據。Target公司失去了客戶的信用卡和借記卡數據,Adobe公司損失了其客戶的信用卡信息以及ID和密碼,易趣公司也泄漏了其客戶的個人信息包括電子郵件地址和物理地址。
這些數據泄漏事故已經在個人消費者心中造成了不安,并且讓泄密的公司因為名譽和品牌的損害造成數百萬美元的損失,更不用說緩解和恢復的成本。而我們所知道的安全泄漏事故僅僅只是一小部分,這也是企業不得不披露客戶數據被泄露的消息,但一些其內部信息的盜竊我們卻無從知道了。
只要是有價值個人信息,攻擊者都會試圖訪問,其目標可能是立即使用竊取來的財務數據,或者只是給公司及其客戶造成損害。
不幸的是,在攻擊者和防御企業之間的技術差距正越來越大。在信息安全隊伍趕超攻擊者之前,我們都將繼續看到攻擊者橫行跋扈。然而,企業是可以采取幾個措施來減緩甚至逆轉這一趨勢的,下面是可以幫助企業的4個步驟。
1、一切都開始和結束于教育
我們應該在大學水平提高教育和研究,從而提高未來信息安全專業人員的技能,以及培養更多合格的人才進入該工作領域。在這些安全專業人士(對抗惡意攻擊的前線)被雇用后,雇主需要投資于其繼續教育和培訓,以領先于不斷變化的安全威脅。只有這些受過教育的個人能夠預測下一個漏洞和攻擊浪潮,以及在攻擊演變成一場危機之前對付它們。
2、聰明地消費
關鍵是要充分利用我們有限的安全預算。隨著越來越多的關鍵數據連接到互聯網,資金雄厚的網絡罪犯也有了越來越多的選擇目標。高知名度的公司總是會被攻擊,而中小企業現在也正成為目標,因為他們更容易被攻擊。雖然回報可能變小,但攻擊者有著很高的成功概率和很低的被抓的機率。
作為一個行業,我們需要對最有可能的威脅提供所有可用的安全預算。雖然說,所有公司都應該注意APT和DDoS這樣的常見攻擊,我們面對的最大威脅之一是未受教育的員工。無論是淪為社會工程學受害者的高管還是選擇不使用最佳網絡配置技術的IT人員,我們經常讓自己容易受到可預防的攻擊。
3、讓應用程序開發人員參與進來
我們都知道,增強的安全性會阻礙應用程序的可用性,并且由于開發人員的時間和預算限制,安全需求被擠出軟件開發過程。在構建計算機應用程序和構建安全的計算機應用程序之間有著巨大的差別。在前期構建安全到應用程序中的成本并不會超過在應用程序構建后再做出調整的成本,或者在漏洞被利用后清理局面。
4、獲得管理層的支持
即使安全專家都意識到了需要做的事情,他們可能難以說服管理層來分配資源來實現其目標。我們需要提高我們的能力,為更好的工具和更好的培訓做業務案例。如果你不能說服首席財務官或預算分析師,你可能無法完成你的工作。提高教育的部分在于提高安全專業人士對安全的理論重要性的認識,還有對安全的投資回報率的認識。當你能夠明確向管理層展示安全如何可以為企業節省資金,或者甚至保住其工作時,你就能獲得預算。
在過去一年中發生的數據泄漏事故給企業和個人造成了很大的傷害,但也許他們可以因禍得福。如果這些網絡攻擊能夠作為安全行業和企業的警鐘,并推動行業改善教育、預算、工具和方法,那么我們也許能夠避免未來更昂貴和更危險的漏洞。如果網絡攻擊成為國家攻擊選擇的武器,或者最終損害國家的關鍵基礎設施,丟失的密碼和信用卡數據將不值得一提。