雷声公司为$ 20十亿防务技术公司,拥有73,000名员工和客户来自世界各地。杰弗里·布朗是CISO和对公司,他负责除城域网和广域网的传统安全功能,其手段的基础设施服务主管。“我有没有人责怪,如果事情不正确的去,”他如是说。有什么最布朗而言,这些天是由新的垃圾邮件技术带来的社会工程攻击的冲击。我们和他谈论需要打击此类威胁的下一代工具,以及他的一些技术在此期间抵御它们赶走。他还讨论了在一个大公司,必须符合严格的美国和国际安全标准提供身份管理固有的挑战。
为什么基础设施服务与安全描述你的工作雷神疙瘩责任一起?
该想法是,这是一个终端到终端的过程:很多安全依赖于网络结构。该网络架构必须支持通过Internet网关的入站和出站流量,必须与安全服务集成。
什么是报告结构?你是IT部门的一部分?
是的,雷神对IT安全的地方一个相当高的优先级。我直接向首席信息官,她报告给CEO。
你有什么更紧迫的安全问题,这些天?
毫无疑问,最紧迫的问题是在爆炸社会工程攻击。[编注:社会工程攻击需要用户采取一些行动,比如点击一个网址,为攻击得逞。]有真的有有走到一起,使它成为一个非常不同的威胁环境中的事件的三个不同的链比我们只是在几年前面临。
首先,我们已经做了不错的工作,关闭了很多传统的恶意软件的入口点在我们的周边 - 开放端口和开放服务。但是,我们不得不离开打开电子邮件和Web浏览开展业务,还有它周围还有没有办法。再加上僵尸网络的出现,和邮件群发垃圾邮件技术,僵尸网络方便,封隔器,允许你压缩可执行文件,加密技术,模糊的签名防病毒系统寻找和多态的编码技术,允许攻击者自动生成数以千计的恶意软件的唯一变化 - 这对于所有意图和目的都零日攻击。当这些东西都走到一起,结果就是这次爆炸的社会工程攻击。它确实从根本上改变了战场。虽然我们的传统的,基于签名的周长和桌面防御仍是绝对必要的,我不认为他们是足够不再。该行业仍在努力提高基于行为的技术和检测系统,使其更具可扩展性和可移植性。
|
这是为什么我获得了大量的垃圾邮件,这些天来有类似的外观,但它们没有被我的垃圾邮件过滤器捕获?
这当然是它的一个重要组成部分。因为他们都只是略有不同。
你说的行为工具仍然日趋完善。你在这些工具寻找什么样的东西呢?
这些工具真的要检测一下一个恶意软件确实在系统上,步道会留下。有基于行为的工具,有旨趣做实时的,但有没有,似乎能够赶上这一切,做大规模。
所以,你已经尝试了一些这些工具?
我们已经尝试过他们,是的。他们都有一个利基,并可以捕捉事件的某些类。但是,没有人迄今往往不够广。
怎么样过滤掉某些类型的电子邮件附件的像JPEG和WMV文件作为打击这些威胁的方法吗?那是一个可行的或有用的东西要干什么?
这当然是有帮助的。雷神块相当多的文件类型,我们跟踪的体积相当密切,在那些我们阻止和那些我们不阻止之间。任何看起来像它的可执行文件,我们将阻止批发。我们没有理由来传递作为attachment.So我们阻止可执行文件的整个范围内的可执行文件 - EXE,DLL,有可能是一对夫妇打。但是,你总是有你的业务需求来平衡风险。就像你可能想阻止应用程序的文件与已知的漏洞,你不能简单地阻断大班的文件类型,但不停止业务。你必须依靠力所能及的帮助杀毒软件可以让你从不受信任来源的用户培训,以避免打开附件。
是否有工具,让您阻止了一些人,但不是别人的文件类型,尝试与业务需求来平衡你的风险?
我想,有一种方法可以做到这一点与防火墙,无论是在周边或在桌面上。但我不知道这是否是所有可行的或有效的。在管理的开销将是巨大的。这将是阻止的文件类型更为可行,让用户知道他们可以得到一个可信源的文件重命名为不同的文件类型。毕竟,这个问题是不是固有的文件类型。这个问题通常是该文件来自不受信任来源的事实,并打开他们出于好奇。
是一种现实的选择 - 有关禁用HTML电子邮件什么?
我们着眼于这一点,但这种规模的企业,我们有很多的依赖于HTML格式的电子邮件获取信息的员工外包功能。所以,我们只是真的没有走这条道路。它没有通过成本效益的考验。
如何重要的是它来过滤出站流量,找到正在发送的事情了木马或僵尸程序?
我们总是过滤器,因为有你只是不想出门某些事情。没有业务浏览网页的服务器,你会阻止外出的流量。但它最大的部分监控出站流量。
流量分析,这真的是你在说什么,就是这个行业在今天的环境中去。所有这些零日攻击,你必须假设他们的一些百分比将是成功的。这确实放在快速检测命令/控制链接回去了溢价,及其它通讯回去了,因为你要回溯到受感染的计算机。而这需要大量的CPU处理能力,它需要大量的创造性思维和好奇心的,如果你要通过所有的代理日志,DNS日志,网络流甚至全包捕获进行排序。它还将一个很大的溢价知道什么是你的网络中正常的,所以你可以挑选出从背景噪音的恶意软件。目前这一代的安全事件管理是一个很大的帮助。他们融合所有信息,并通过排序噪音,然后现在 - 的程度,他们可以 - 仅仅是重要的警报。他们是向前迈出坚实的步伐。但是,大量的流量分析的是蛮力,粗短的铅笔侦破工作,因为威胁改变了这么多,每一块恶意软件具有不同的特征。你不能只依靠工具。
你觉得你们如何在基线环境做的,所以你知道什么是正常的吗?
很不错。当然,它是这样一个巨大的环境。我们什么也不做,但性能分析基线环境整组。他们这样做,从电信的角度,以尽量使WAN效率更高。但是该好处是,他们可以表征大多数的公司的链接的数量和业务类型的条款。而同样的数据和那些同样的技术可用于下去更深一点,寻找恶意软件的特征流量模式。
听起来像是另一个原因是他们把你负责的基础设施。
究竟。事实上,性能分析组没有安全之内说谎,它真的谎言的网络工程小组。
如何保护你的服务器操作系统从零日攻击?
的第一件事就是打补丁和系统管理员好的做法 - 这只是基本。但是你接下来要做的就是把你的网络就像一个海军舰艇和划分的每一个功能,这样就不需要再跟对方服务器不能相互交谈。这降低了噪声本底水平,并使真正奇怪的交通脱颖而出。其中最根本的东西:不要让系统管理员查看电子邮件或浏览从服务器他们给予网络。他们应该做的是从他们的台式电脑。如果您[社会工程]这是从电子邮件或浏览网页来攻击,所以公开这些服务器的攻击,如果你不就得了?如果它是经营的是人事制度,财务制度的服务器,它有没有生意越来越电子邮件和该服务器上有一个人打开电子邮件。
因此,只要限制受到这些攻击机的数量?
究竟。
这似乎是身份管理也发挥到这一点,以保证用户可以在只有他们有权查看的资源得到。你如何应对,以你公司的规模?
嗯,你说的没错,身份管理真的是任何大型企业的安全基础设施的核心。这是特别是在国防工业,我们有国际武器贸易条例,或ITAR的问题,我们必须遵守。这要求我们限制对美国的技术数据,以美国的人,并违反了处罚是相当严厉。而作为一个国际化的公司,我们要对付的不仅仅是美国ITAR,但其他国家的等同的出口限制。我们必须有一个终端到终端的过程,可以权威性不仅决定谁在另一端的,而且人在另一端的国籍。只有在你做,你可以利用基于角色的授权,下一步我们的身份管理系统的核心是我们的[轻量级目录访问协议]目录,而这直接从我们的人事制度喂养。而大部分单个系统的身份验证,然后使用目录的身份,但一旦身份被验证维护自己的授权过程。我们也是中途派出的身份管理工作流系统自动处理帐户创建和删除一些我们最广泛使用的资源,如网络账号激活新员工的过程。
为什么你最系统给予自己的授权?
600超过我们的系统中使用我们称之为简化登录一个共同的身份验证机制,但他们主要是处理自己的授权,因为需求是如此的不同,每个系统都有谁使用它的人一组不同的角色。你最终与角色保持成千上万。这将成为一个簿记噩梦。而做到这一点,至少在最初阶段,我们已经允许每个应用基于身份设置权限和授予访问权限和属性,我们从目录服务提供。由于数据和应用程序拥有者最终要为自己的系统负责,只是保持它的清洁。
这是否使之不可行像做单点登录?
不,我们做单点登录,现在通过我们的目录。We’re going from what was simplified sign-on — where everybody had the same passwords for all their applications, 600 or 700 of them in the company — and we’re moving steadily towards a single sign-on for all Web-based applications by synchronizing it with the Active Directory authentication. That’ll be rolling out fairly soon. So it’s complicated but it’s not impossible to do, and we’re moving down that path.
在这种情况下,好像你不必担心你的身份验证机制是特别强,对不对?
哦,当然。我们有双因素认证从外面什么,我们有复杂性和强度,并获得非常有限的,以系统管理员的目录中采取严格的密码策略。我们正在稳步走向双因素认证公司内部的域系统管理员的移动。
那你的身份管理基础设施延伸到商业伙伴?