卡巴斯基:泄露無可避免 為災難做好準備
責編:gltian |2019-11-26 14:17:41把發生網絡安全事件當成 “新常態” 的公司就是好公司。
卡巴斯基實驗室最近對 250 名頂級安全官做了問卷調查,結果顯示,86% 的受訪者認為網絡安全事件是無可避免的。當今網絡環境的復雜性保證每家公司都在被入侵的路上。云采納催生出橫跨不同地點和團隊的混合環境,容器的使用,還有可滲透的邊界——所有這些因素都擴大了攻擊界面,挑戰我們現有的威脅管理方法。
造船技師預期故障并為此作出計劃,我們也應當如此
安全行業顯然可以在事件管理上做更多工作。盡管我們花費數十億美元可能防止了大量壞事發生,但導致災難性損失的重大數據泄露事件一直在增加,隨之而來的就是曝光記錄和敏感客戶數據泄露事件的指數級增多。為什么會這樣?因為與其他行業不同,我們并沒有為失效做出計劃。
以造船業為例。造船技師通過分隔船體和限制進入引擎室來控制事件發生時的損害,為故障做好工程準備。這種做法從 15 世紀就開始了,一直沿用到現代艦船身上。造船技師的經驗也可應用到現代 IT 安全中。下面列出的幾個安全原則就反映出了這一點:
1. 造船技師假定船只總會遭遇漏水,所以他們打造的船體可以防止單一漏點導致整船沉沒。同理,假定企業環境中總會發生安全事件,為此分隔企業網絡。如此一來,即使惡意軟件進入了測試環境,開發、生產和隔離區等其他敏感環境不會受到影響。缺乏分隔可使攻擊者一旦越過邊界就很容易移動至關鍵區域,就好像如果船體未做分隔,漏水會很快漫延整船一樣。
2. 負責維護船體的員工定期檢查滲漏點或脆弱點,保證貴重貨物和船員的安全。同樣地,現代安全團隊必須謹慎監視和修復,防止邊界上眾所周知的縫隙和潛在的重大問題。
3. 艦船最敏感的工具都在引擎室里。為保護您最貴重的資產,務必筑好關鍵 IT 資產的護壁,確保其不受網絡入侵的傷害。
4. 船上總有船員不間斷瞭望,監視一切情況,在必要的時候直接修正航線。與之類似,有必要維護從整個數據中心直至應用層的完整可見性。在可以 “改變航向” 或設置任何策略或控制之前,必須獲得對愈趨復雜且動態的生態系統的可見性。
5. 讓船員不能隨便登上艦橋是一個重要的安全措施。同理,網絡世界中建議設置基于用戶身份的策略,確保公司員工、承包商和遠程用戶只能訪問自己有權訪問的東西。這么做的結果就是您的業務關鍵應用只能被已授權用戶訪問,獲得更高的安全性。
僅過去兩年間,就有多個案例直指可見性與分隔缺失是大規模數據泄露的頭號元兇。比如 2017 年影響 1.48 億消費者的史上最大網絡攻擊 Equifax 數據泄露事件,美國眾議院監督與政府改革委員會對此事件的報告就提到,該公司未能實現基本的安全協議,包括文件完整性監視與網絡分隔,使攻擊者得以訪問并刪除了大量數據。
Equifax 在良好分隔策略上的缺失,使攻擊者在持續 75 天的攻擊行動中得以訪問十幾個含有個人可識別信息 (PII) 的數據庫。WannaCry,史上最大型惡意軟件感染,同樣本可以得到更好的遏制——如果受害公司為自己的系統事先修復了其利用的 MS10-010 漏洞。然而,公司企業并未意識到自己存在需要修復的漏洞,或者沒有能力去修復。即便沒打上補丁,只要部署了網絡分隔,受影響企業也本可以實施安全策略并阻止該蠕蟲在整個環境中蔓延的。
預期泄露,打補丁,分隔
Equifax 和 WannaCry 這種規模的威脅,人們很容易假定攻擊者采用復雜攻擊模式,或者利用未被發現的新漏洞。然而,這些攻擊的巨大成功是建立在沒打補丁的系統和缺乏網絡分隔上的。認清混亂終會到來的現實,預期可被網絡分隔和更好數據中心可見性阻止的攻擊,公司企業便沒那么容易被單點入侵導致整船沉沒,可確保公司的長治久安。
卡巴斯基實驗室調查: