增強(qiáng)企業(yè)IT防御力 安全監(jiān)控的五個(gè)原則

    過(guò)去的一年發(fā)生了太多的數(shù)據(jù)泄露事故，即將步入2012年，相信這些深刻的教訓(xùn)會(huì)讓企業(yè)意識(shí)到安全的重要性，做好安全監(jiān)控，以找尋攻擊者入侵企業(yè)系統(tǒng)的痕跡。

    網(wǎng)絡(luò)監(jiān)控公司RedSeal Networks公司首席技術(shù)官M(fèi)ike Lloyd表示，為了更好地防范和檢測(cè)攻擊，企業(yè)需要整理其網(wǎng)絡(luò)，找出關(guān)鍵信息的位置，并利用這些信息來(lái)保護(hù)盒監(jiān)測(cè)其關(guān)鍵資產(chǎn)。RedSeal Networks公司發(fā)起的一項(xiàng)調(diào)查發(fā)現(xiàn)，10個(gè)安全從業(yè)人員中有7個(gè)認(rèn)為他們的網(wǎng)絡(luò)因?yàn)樵O(shè)備配置不當(dāng)而處于風(fēng)險(xiǎn)之中，而超過(guò)一半的受訪者并不具備制定衡量安全性標(biāo)準(zhǔn)的知識(shí)。

    “我經(jīng)常會(huì)提到孫子兵法的內(nèi)容：不要這么擔(dān)心你的敵人…應(yīng)該了解地形和了解自身情況，知己知彼百戰(zhàn)百勝，”Lloyd表示，“IT也是同樣的兩個(gè)原則：了解網(wǎng)絡(luò)情況，以及了解網(wǎng)絡(luò)中的端點(diǎn)�！�

    在2012年，企業(yè)應(yīng)該將更多的東方哲學(xué)應(yīng)用到其安全實(shí)踐中：

    1、了解自身情況

    企業(yè)應(yīng)該了解其系統(tǒng)和網(wǎng)絡(luò)的情況，主要有兩個(gè)原因：首先是為了找到他們可以監(jiān)控的信息來(lái)源。企業(yè)不能只是監(jiān)控防火墻日志、網(wǎng)絡(luò)數(shù)據(jù)和員工使用模式，應(yīng)該轉(zhuǎn)移到分析訪問(wèn)日志、域名請(qǐng)求和任何地理定位數(shù)據(jù)。

    RSA首席安全官Eddie Schwartz表示，獲得這些信息并不容易，因?yàn)榘踩珗F(tuán)隊(duì)可能不會(huì)管理問(wèn)題資產(chǎn)。

    “你看看一些企業(yè)，他們已經(jīng)給自己設(shè)了路障，”他表示，“他們不能從Windows團(tuán)隊(duì)或者防火墻團(tuán)隊(duì)獲得這些信息，而這些信息與解決其安全問(wèn)題有關(guān)，應(yīng)該是其資產(chǎn)的一部分�！�

    Schwartz表示，找到數(shù)據(jù)來(lái)源，然后向管理層要求這些數(shù)據(jù)以用于監(jiān)測(cè)網(wǎng)絡(luò)安全。

    2、了解網(wǎng)絡(luò)布局

    使用各種日志信息和流量數(shù)據(jù)，下一步就是找到所有進(jìn)出網(wǎng)絡(luò)的方式，以及每個(gè)端點(diǎn)。

    聽(tīng)起來(lái)很容易吧?實(shí)際上并不是如此，Lloyd表示，一半的安全從業(yè)人員不知道或者沒(méi)有辦法知道哪些資源可以從網(wǎng)絡(luò)外部訪問(wèn)，根據(jù)RedSeal最新調(diào)查報(bào)告。

    “很多公司會(huì)說(shuō)，‘在我們分析我們的網(wǎng)絡(luò)之前，我們不知道我們到底不知道什么’，”他表示，“收集有關(guān)網(wǎng)絡(luò)的信息并不是簡(jiǎn)單的任務(wù)，并且大多數(shù)企業(yè)不知道其網(wǎng)絡(luò)中的每一個(gè)設(shè)備�！�

    了解設(shè)備以及資產(chǎn)間的連接模式能夠幫助企業(yè)了解攻擊可能從哪里來(lái)，以及檢測(cè)奇怪的使用模式。

    3、了解在哪里防衛(wèi)

    在找到監(jiān)測(cè)信息來(lái)源和了解網(wǎng)絡(luò)布局情況后，企業(yè)需要通過(guò)了解資產(chǎn)的業(yè)務(wù)功能來(lái)部署監(jiān)測(cè)和防御。

    當(dāng)事件響應(yīng)者發(fā)現(xiàn)攻擊，他們需要知道攻擊者可能去哪里以及哪些數(shù)據(jù)處于危險(xiǎn)之中。

    “例如，漏洞掃描儀就可以派上用場(chǎng)，”他表示，“因?yàn)榭刂屏速Y產(chǎn)的攻擊者將會(huì)知道哪里是網(wǎng)絡(luò)的薄弱環(huán)節(jié)�！�

    4、了解敵人情況

    業(yè)界專家對(duì)于全球威脅情報(bào)對(duì)企業(yè)監(jiān)測(cè)計(jì)劃的重要性的意見(jiàn)不統(tǒng)一。

    ReaSeal公司更側(cè)重于幫助企業(yè)了解和保護(hù)網(wǎng)絡(luò)，而并沒(méi)有將重點(diǎn)放在監(jiān)視攻擊者上。而RSA則側(cè)重于基于情報(bào)的安全，主要針對(duì)大型企業(yè)。

    “安全應(yīng)該變得更加敏捷，應(yīng)該以情報(bào)為基礎(chǔ)，”RSA執(zhí)行主席Art Coviello表示，“這并不是關(guān)于你是否將受到攻擊，而是你應(yīng)該如何做出反應(yīng)�！�

    對(duì)于相信攻擊者將會(huì)特別針對(duì)其系統(tǒng)的企業(yè)，跟蹤威脅將是關(guān)鍵。

    5、衡量安全性，而不是其他

    Lloyd表示，有些公司衡量了錯(cuò)誤的東西，這可能導(dǎo)致一些問(wèn)題。

    使用安全更新、病毒定義更新或者其他工作的數(shù)據(jù)并不能讓公司更安全。而應(yīng)該將安全團(tuán)隊(duì)放在“跑步機(jī)”上，讓他們跑得更快，來(lái)達(dá)到預(yù)期效果。

    “安全是很難衡量的東西，”Lloyd警告說(shuō)，“你需要衡量的是姿態(tài)---你離下一次威脅還有多遠(yuǎn)�！�

    企業(yè)應(yīng)該衡量提高安全性的指標(biāo)，例如修復(fù)漏洞的數(shù)量，“然后的訣竅就是使其可量化和可重復(fù)的，”他表示。