即使组织努力构建和维护一个强大的企业安全程序,公司做的一些事情实际上阻碍了他们为强大安全所做的努力。
在我写这篇文章的时候,美国一些最聪明的IT安全开发人员和实践者正在旧金山的RSA会议上讨论最新的技术和技术,希望这些技术能保证我们的网络和计算机系统的安全。
但在本文中,我想重点讨论许多组织在防范当前威胁,特别是更危险的高级持久威胁方面的不足之处。我咨询了Zscaler的安全研究副总裁、Zscaler ThreatLabz的负责人Michael Sutton,整理了一份常见缺陷列表,这些缺陷可能会提供攻击者寻找的漏洞。
跟不上现代技术的发展。
许多公司继续做他们一直在做的事情来保护他们的IT系统,但这对今天的安全环境是不够的。有两种主要技术已经成为标准,并且几乎100%渗透:基于主机的反病毒和基于设备的URL过滤。它们当然是重要的,它们将清除一些攻击,但它们都无法捕捉更高级的威胁。
IT安全领域在过去几年发生了巨大的变化,那些继续只依赖反病毒和URL过滤的公司面临着很高的风险,因为现代的威胁太容易绕过这些防御。重要的是,要在现有的技术基础上增加能够检测当前类型威胁的技术。
*没有使用全面的方法来保护移动和“非网络”世界。
近年来,劳动力流动性发生了巨大变化。如今,典型的员工至少偶尔会在工厂外工作,使用移动设备检查电子邮件和访问应用程序。显然,移动生态系统无法像传统的网络连接设备那样得到保护。例如,在智能手机上运行杀毒软件可能会很困难,因为它会很快耗尽电池电量。
即使有人使用的笔记本电脑离开企业网络一段时间,当重新连接企业网络时,该设备也可能会接收到引入到企业网络的恶意软件。周界防御工具永远不会捕捉到这种感染,恶意软件是自由地传播到其他设备。
总的来说,由于移动性,设备和数据的全球可见性变得越来越难。许多公司还没有解决如何追踪用户在智能手机和平板电脑上的流量和模式,以及在星巴克用笔记本电脑工作的挑战。对于大多数组织来说,这是一个巨大的盲点。
*使用完全不同的安全技术,不关联它们的细节。
检测安全事件的可见性是大多数企业的另一个巨大弱点。公司从不同的供应商那里购买最佳的解决方案,却没有办法在这些解决方案之间关联和分析信息。创建SIEM行业是为了将所有这些日志文件拉回一个位置进行分析,但很少有公司真正实现了这一目标。
对于组织来说,更常见的是根据位置或技术逐个查看事件报告。这种方法不能将点联系起来,因为当我们处理有针对性的攻击和apt时,攻击者的行为就像狙击手。例如,可能会有一些流量影响到一家公司的纽约办事处,一些影响到伦敦办事处,一些影响到香港办事处。只有纵观全局,你才会发现三个被攻击的人都是高管,而且他们都受到了类似的社会工程攻击。如果没有这种全局可见性和关联事件的能力,攻击可能会被忽视,直到为时已晚。
*将企业大部分资源用于预防,忽略检测和补救。
IT安全的全面方法包括预防、检测和补救。大多数公司把90%的安全预算花在预防上,因为他们相信他们应该把重点放在阻止或预防攻击上。从他在Zscaler ThreatLabz的职位来看,萨顿可以看出,大多数公司在某种程度上已经受到了感染。萨顿说:“当然,如果可能的话,我们希望在攻击影响到我们之前保护和防御它们,但我们绝对不能忽视检测方面或补救方面。”“我们知道我们会受到一些感染,我们需要尽快限制损害,隔离问题,并采取适当的补救措施。企业需要采用这一重点。”
*不分析出站流量。
在安全检测方面,公司需要检查出站流量,但很少这样做。他们应该查找提示感染的出站通信,例如到命令和控制服务器的通信。这不能仅仅是在已知恶意网站的黑名单上检查因为它们一直在变。重要的是要检查请求的每个部分,然后说,‘我不知道这个请求会去哪里,因为我从未见过那个目的地,但它具有僵尸网络的所有特征。我要把它标记出来,阻断交通。”
*在被入侵后没有进行取证。
即使是最好的公司,也会发生漏洞。当违约发生时,为了防止再次发生,弄清楚违约的发生方式和原因是很重要的,同时也要弄清楚违约的范围有多大。如果公司内部没有专业知识来进行法医分析,那么寻求外部帮助是值得的,以获得有助于防止再次入侵的答案。
Linda Musthaler (LMusthaler@essential-iws.com)是该公司的首席分析师基本解决方案公司。它研究的是信息技术的实用价值,以及信息技术如何使个体工人和整个组织更有生产力。基本解决方案为计算机行业和企业客户提供咨询服务,帮助定义和实现IT的潜力。