企业网络安全新思路:凡事要做最坏打算
来源:IT168 更新时间:2012-04-14

 在近日举行的RSA大会上展示了一种新型商业设备,这种设备部署在网络中监视正在进行的攻击活动:其任务并不是阻止攻击者进入企业网络,而是偷偷地观察攻击者的行动,同时收集情报,并最终阻止任何损害的发生。

  假设攻击者已经或者即将渗透到企业内部是安全行业正在形成的新思路,这种方法建立在防火墙、防病毒软件和其他工具的防御策略之上。现在越来越多人开始采用这种思路:不再是关于你是否被攻击或者何时被攻击,而是假设你已经受到攻击,并将重点放在如何将损害减至最低上。RSA大会上展示的新设备就是采用了假设坏人已经进入的思路。

  Norman Data Defense Systems的Darin Anderson表示:“我们行业有一个不能说的秘密,那就是每个人都被感染过。”

  Mandiant公司创始人兼首席执行官Kevin Mandia表示了相同的看法:“我认为安全泄露是不可避免的,我们一直在尝试加强安全防御,我们部署各种各样的措施,事实上,对网络中正在发生的事情具有洞察力才是关键。”

  面对高级持续有针对性攻击,所有人都接受了数据泄露这个宿命,这种高级针对性攻击大多数来自于想要获取知识产权信息和其他竞争情报的竞争国。这些攻击曾经主要是针对军事部门和国防工业,现在已经扩散到商业世界的各个角落,甚至瞄准了较小而有利可图的目标,例如律师事务所。阻止这种攻击是非常困难的,这种攻击通常源自于钓鱼攻击。同时,Anonymous组织的攻击行为也向我们展示了,让攻击者想要进入你的网络,他绝对能找到办法。

  这些受利益趋势的攻击让很多对现有安全技术以及企业内糟糕的安全做法(重复使用密码等)感到沮丧的安全专家、供应商和企业意识到,你根本无法阻止攻击者对你的攻击。CounterTack公司首席执行官Neal Creighton表示:“他们一定能够深入你的系统,所有人都将受到攻击,我们对于我们不知道的东西感到恐惧。”

  在Ponemon研究所的调查中,70%-80%的受访企业表示,他们在过去二十个月内遭遇过一次或者多次数据泄露事故。Ponemon研究所主席兼创始人Larry Ponemon表示:“关键是你需要优先考虑数据保护措施,专注于泄露后可能对企业造成严重影响的数据,并加强对这些数据的保护。”

  专家表示,并不是说防御态势不再可行,只是单靠防御并不能解决问题,企业需要加强其检测和情报收集工作。

  “我说过如果有人想要渗透入你的企业,而他们又有资源和时间的话, 他们将可能会成功,”Verizon公司风险智能主管Wade Baker表示,“我们应该具有预防意识,但是你并不能阻止所有一切攻击活动,当有事情发生时,你需要第一时间知道。安全就是关于防御和检测。”

  eEye Digital Security公司首席技术官兼创始人Marc Maiffret表示,同时,我们也需要从不同的角度来考虑安全。

  “目前提倡的‘假设已经受到攻击’方法是一种全新的思路,”Maiffret表示,“现在你仍然能够通过适当的网络架构、系统配置和及时修补漏洞来阻止大部分攻击。这并没有改变。”

  Maiffret 表示:“我经常说的一句话就是,任何销售安全产品的人告诉你他们的产品或者服务能够保证100%的安全性,那么这个人绝对是在撒谎或者无知。”

  现在我们的目的是要尽可能早地检测到攻击以减轻攻击的影响。

  CrowdStrike创始人Dmitri Alperovitch表示:“这类似于传统的军事战略,假设他们已经穿过了你的防御。”