安全研究员迈克尔·萨顿非常担心。他说,大多数公司没有先进的安全策略来跟上今天的威胁,特别是最严重的先进的持续威胁。他建议采用包括保护、检测和补救在内的整体方法。
您的安全策略是否充分解决了如何处理高级持久威胁(apt)的问题?可能不会,除非你在过去几年努力跟上威胁趋势和新的安全技术。由于移动和云计算,传统的外围防线已经消失,严重的攻击者正在利用几年前还不存在的新弱点。
我最近采访了迈克尔·萨顿,他是Zscaler,以了解他对处理APTs的看法。他的公司是一家安全云提供商,每天为全球数千家企业审查超过120亿笔交易。这种活动水平让Zscaler对威胁趋势和不断变化的安全格局有了一些很好的洞察。
我和萨顿的谈话始于他对“高级持续性威胁”的定义。据萨顿说,APT是一种非常特殊的攻击。“‘高级’指的是攻击者可以使用全套工具。这不仅仅是零日代码。他会利用已知的威胁和未知的威胁,他会利用社会工程。他会不惜一切代价进入目标组织。”萨顿说。
萨顿说:“‘持续’意味着攻击不一定是数小时或数天,可能是数周甚至数年。”“这个术语的‘威胁’部分实际上是在描述这不是一段无意识的代码。威胁背后有人的因素,通常是一个犯罪组织,甚至是一个拥有大量技能、知识、资源和资金支持的民族国家。”
我问Sutton,现在是否大多数公司都做好了应对apt的准备。一句话,他说不。“作为一名安全研究人员,这是我真正担心的地方。当我们看看普通的公司,他们今天做的和他们5年甚至10年前做的一样。他们的安全保护措施还不够完善。萨顿说,有两种安全手段几乎100%渗透——基于主机的反病毒和基于设备的URL过滤。这将捕捉到很多明显的东西但绝对不会捕捉到更高级的威胁。
他将这种缺乏准备归因于近年来IT环境的快速变化。静态环境已成为过去。今天,我们有BYOD、员工移动性和云应用。这意味着,为保护企业拥有的、内部的、网络上的设备和存储在内部服务器上的数据而建立的传统防御,已经完全失去了我们今天的企业计算风格。
Sutton说道:“如果你着眼于像智能手机和平板电脑这样的移动设备,你便会发现我们并没有拥有之前所拥有的一些控制方式。“你不能真的在智能手机上安装杀毒软件,因为操作系统和电池寿命都不支持它。我们看到许多编码糟糕的应用程序很容易受到攻击,或者存在隐私问题。移动领域还很不成熟,要想确保自己的安全还有很长的路要走。”
萨顿说,我们整个IT生态系统发生了根本的变化,攻击者也完全改变了。现在的APT攻击具有针对性和隐蔽性,可以长时间不被发现。他说,我们需要超越反病毒和URL过滤,从保护、检测和补救的角度来实现当今的IT安全。
他说:“公司90%的安全预算都花在了保护上。”“我们当然想阻止这种攻击,但不幸的是,当今世界的现实是,你的网络上将会有受感染的机器。Zscaler有来自数千家公司的流量流经我们的云,我可以告诉你,大多数公司都在某种程度上受到了感染。是的,如果可能的话,我们希望在这些攻击影响到我们之前保护和防御它们,但我们绝对不能忽视检测方面或补救方面。我们知道我们会受到一些感染,我们需要尽快限制损害,隔离问题,采取适当的补救措施。企业需要采用这一重点。”
下面是他对公司在这三个领域应该做什么的建议。
*保护。反病毒和URL过滤正在努力跟上今天的攻击。攻击者很容易修改一个已知的威胁,使其成为一个未知的威胁,从而有足够的时间通过AV引擎或URL过滤器。由于这些原因,我们必须进行全内容检查;我们必须把一切都视为不可信。我们必须查看代码的所有部分。
由于隐私的原因,许多网络正在转向仅使用ssl的通信。萨顿说:“如果你有一个安全解决方案,它没有能力坐在中间,解密数据并检查它,你将错过很大一部分可能携带攻击的网络流量。”
我们必须超越基于签名的控制,利用沙箱和行为分析等技术。萨顿说:“这将是我们捕获新变种、新恶意软件或我们以前没有见过的新技术的最佳机会。”他说,行为分析不是灵丹妙药,但它是一个必要的组成部分,更有可能抓住长尾高风险。
*检测。企业需要检查可能出现感染的对外流量;例如,尝试与命令和控制服务器通信。萨顿说:“当外部流量试图访问一个网站时,我们不能只是根据已知网站的黑名单来检查URL,因为它们一直在变化。”“我们需要检查这一请求的每个部分,了解其行为和特征,如果它可疑,我们需要阻止它。”
对大多数公司来说,检测中的可见性是一个很大的弱点,很大程度上是因为我们部署了一大堆完全不同的安全技术。创建SIEM行业的目的是将所有日志文件拉回一个位置,但Sutton表示,很少有公司完全实现了这一目标。移动性也使能见度的挑战复杂化,因为公司没有一个好方法从使用智能手机工作的员工或坐在星巴克用笔记本电脑的员工那里获取流量。
另一个挑战是将所有的日志数据转化为可操作的情报。SIEM当然可以在这里提供帮助,但大多数公司缺乏成功利用SIEM的资源和专业知识。托管服务提供商或云服务提供商可以帮助满足这一需求。
*补救。萨顿认为,这是一个公司不准备独自采取的步骤。“一旦你发现了什么,你就需要有能力快速隔离和接种那些受感染的机器。如果有人在办公室外,你发现他们被感染了,你有能力迅速关闭并隔离那台机器吗?你可能不想马上把那台机器擦干净因为你需要对它进行取证。你需要弄清楚它是如何发生的,为什么会发生,我认为大多数公司都没有这些能力。”这是一个可能需要外部专家的领域。
Linda Musthaler (LMusthaler@essential-iws.com)是Essential Solutions Corp. http://www.essential-iws.com的首席分析师,该公司研究信息技术的实用价值,以及它如何使个人工人和整个组织更有生产力。基本解决方案为计算机行业和企业客户提供咨询服务,帮助定义和实现IT的潜力。