面对成百上千,乃至成千上万的IT基础设施漏洞,安全从业人员面前矗立着几乎不可逾越的困难。其结果通常就是长长的驻留时间和异步迭代,阻碍网络安全项目的有效性。这引出了一个问题:是什么让我们面对网络攻击无能为力?更重要的是,有什么新的方法让公司企业从传统领域专家模式切换到互动迭代的协作模式?
Gartner2016年1月的文章《设计自适应安全架构抵御高级攻击》中写道,企业通常实现的是反应式而非主动式网络安全,这是不对的。他们通常依赖已被证明没什么效果的封锁技术。
今日网络安全面临的最大问题之一,是怎样管理典型企业中各种IT安全工具产生数据的规模、速度和复杂性。从这些孤立的、不联网的工具中收集来的反馈,必须进行标准化和分析,缓解工作也是优先项目之一。工具越多,工作困难度越大。最终,这些数据汇总和分析需要大量的员工梳理海量数据以连点成面,大海捞针,找出正确的结论。该工作可能耗时数月,而此期间攻击者有可能利用漏洞抽取数据。
即便公司能招募足够资源来进行这些分析,他们对内部安全情报的依赖也常常会导致缓解工作偏离正确方向——因为内部情报常缺乏活跃威胁及其所利用特定漏洞的上下文。没有将外部威胁数据和业务关键性考虑进去,安全团队就会补错漏洞。很多案例中都只响应了过去的威胁,而不是基于预测性分析采取主动方法来关闭攻击者利用漏洞的窗口机会。
我们可以来看一下网络安全项目有效性的限制因素。
一维视野
首先,很多公司,甚至安全厂商,都还是只关注网络层,很少认识到攻击界面的其他方面,比如:应用层。我们需要的,是威胁界面的整体视图,将网络敌人的策略和能力一一匹配上。威瑞森2016数据泄露报告证实了这一点。网络层和终端只是威胁迷宫的一小块拼图。攻击界面飞速增长,安全实践也应随之做出相应调整。
CVE焦点
其次,大多数漏洞管理工具依赖通用漏洞和暴露(CVE),可能导致资源和工作的错位。2014年出现的“贵宾犬(POODLE)”漏洞就是个很好的例子。这个漏洞被公布时,在国家漏洞数据库(NVD)中评分为5.5。对漏洞进行过滤分级,并只对CVE得分在7份及其以上的漏洞采取措施,是通常的安全实践。采用这个模型,贵宾犬漏洞就会被忽略掉。只要早点发现它产生了成千上万的攻击,企业本可以调整修复优先级以解决贵宾犬威胁的。该事件证明了将内部安全情报融入外部威胁数据情景的重要性。
为改善击败网络攻击的成功率,企业可以实施以下3条最佳实践:
1. 鉴于合格安全人才的短缺,应利用技术来自动化尽可能多的安全运营工作。
2. 按国家标准与技术局(NIST)宣传的持续监视和诊断指南,来增加安全态势评估的频率。
3. 最后,扩展防护措施以解决今日不断扩大的攻击界面。这包括在网络层和终端之外,将应用、数据库、云环境、物联网等等都囊括进来。
鉴于安全漏洞的庞大数量,单独管理威胁似乎不再可行。既考虑安全态势又考虑业务影响的整体的、基于风险的方法,可以减小攻击界面,缩短漏洞被利用的驻留时间。