E安全8月8日文 如今,人们在网络浪潮中遨游,尝到网络科技带来的种种甜头,同时也深知网络攻击给社会带来的影响,尤其大规模网络公司和关键基础设施遭遇的攻击。如何利用好网络这把双刃剑,了解趋势和挑战是网络安全从业人员的必修课。
要确保采取适当的措施保护组织机构,网络安全专家理解新趋势至关重要。以下是安全专家需了解的关键趋势:
一、数据关联
将更多设备添加到网络之前应重视数据关联,首先对现有设备进行数据关联。网络日益复杂,仅凭一台设备不足以了解整个组织机构发生的情况。为了更好地了解正常和异常流量,必须对所有关键设备进行数据关联。每台设备/服务器就是一片拼图碎片,只有将所有碎片组合在一起才能了解发生的状况并采取适当的措施予以应对。
二、威胁情报分析
安全行业许多产品变得日益商业化。许多控制台和网络设备的工作原理和运作模式十分相似,关键的区别在于精确的最新威胁数据。组织机构无法解决所有风险,因此,随着威胁升级,组织机构应将注意力放在防御真正的攻击途径上。为了缓解风险/威胁,组织机构必须适应威胁,防御方必须向攻击方学习。威胁必须推动风险计算,以便解决应当解决的漏洞。只有充分掌握了各类准确的威胁数据,才能发现并且阻断漏洞利用途径。
三、端点安全
网络安全专家需保护运行的方方面面。随着便携式设备的普及,端点的重要性日益凸显。至于端点包含的数据,服务器与笔记本电脑之间存在些许区别。服务器处于保护较佳的网络上,而笔记本电脑通常直接连接到不受信任的网络,包括无线网络。因此,组织机构需抛弃传统的端点保护,专注于控制、监控并保护端点上的数据。
四、取证(积极的方法,而非被动)
攻击带来的破坏性巨大,一旦攻击者成功入侵网络,可以说为时已晚。此外,借助电子邮件、文件、网络、数据库分析工具这类技术执行被动取证相当困难。因此,网络安全专家需倾注精力在组织机构遭遇重大损失之前积极发现问题和攻击途径。当知识产权被盗,名誉受损时,积极取证是可采取的唯一途径。
五、签名检测(无签名不失为一种更好的方法)
签名检测奏效的原因在于恶意代码不会发生变化,要在大范围内利用需要时间。虽然签名检测对发现某些攻击有效,但对高级持续威胁(APT)却无计可施。因此,安全专家需将签名检测与行为分析相结合,以有效防止并检测未来还将会继续发生的新兴威胁。由于新威胁总是不断发生变化、并具有持久性,只有通过行为分析才有机会有效应对这类恶意攻击。
六、现在和将来,终端用户都是攻击者的主要目标
所有人都倾向于关注WannaCry、Petya等大型攻击的技术性质,但当有人进行根本原因分析时,大多数这类复杂APT攻击的切入点都在于点击了恶意链接的用户。之后,攻击变得异常复杂、先进,但仍有许多攻击的切入点是传统的社会工程攻击。虽然组织机构无法让员工100%遵守规定,但仍需要倾注精力培训员工的这种意识,甚至对他们施加压力。
七、数据加密保护仍有缺陷
密钥管理是许多组织机构首选解决方案,但却并未意识到密钥管理的重要性。秘钥保护不当,加密没有任何好处。加密实际上是一种“治标不治本”的安全保护方式,因为组织机构关注的是算法,而非密钥。如果无法对密钥进行妥善的管理,算法技术再高级也无济于事。攻击者窃取的大多数数据来自加密数据库,其主要原因就在于密钥直接与加密数据一起存储。
八、云计算安全仍是一大困惑
云存在众多安全问题,安全专家对此也毋庸置疑。转移至公共和私有云平台可以降低成本和开销,但在大多数项目中,重大问题发生之前,安全不会被重视。攻击者通常会关注高回报的目标,随着越来越多的企业转移至云,攻击方法和途径也将呈爆炸式增长。
九、协议即网络不断发展。
新的协议将不断出现,但问题是部署新协议的传统模式将无用武之地。
过去,新协议开发后需要花很长时间才能被广泛应用。这段期间就算协议存在漏洞,也可以部署适当的安全措施来解决。
如今,新协议出现后很快被广泛应用,而应用之后存在的问题也会越快被发现,从而导致攻击快速大规模蔓延,使人措手不及。
十、集成/嵌入式安全设备
集成/嵌入式安全设备不止是一项技术,已逐渐被集成到每个组件,更多功能移向硬件。嵌入式设备为网络安全专家制造了一个比较严峻的问题:嵌入式设备比软件难修复。如果软件存在问题,可以通过补丁修复。然而,如果硬件存在漏洞却无法修复,而且还会增加攻击面。ATM机、智能电网就是一个很好的例子。