互联网已经不是像WEB1.0时代时的单纯,面对WEB2.0时代的大量交互,不论是社交网站还是无线传输,都使得企业安全遭到了极大的威胁。企业如何在复杂环境中降低安全风险成为了企业安全管理员们面对的难题。
要想在复杂环境中降低企业网络风险,首先要纵观全局,评估涉及隐私及机密信息的各项数据资产。其实质操作与业务持续性和灾难恢复规划相同,目标均为防止数据失窃、受损或无法访问。因此,数据安全评估和业务持续性评估可同时执行。
掌控企业整体安全形势并降低风险,还可从以下几方面入手:
降低安全风险一:风险/漏洞评估
执行风险/漏洞评估的第一步,是引入能够发现企业网络上运行的一切网络设备、服务器、存储设备及软件的管理工具集。必须先了解都有哪些部件,然后才能确定是否所有部件都符合最新的策略规定,遵从适用的法规、条例,以及应用软件补丁。
幸运的是,网络发现及安全工具的准确性在过去几年里得到了极大提高。它们现在能够从网络及全网服务器设备处收集海量的安全事件数据,然后将之归纳到超长的报告中,详述网络安全的各个方面。
现在,您可以捕获所有此类信息了,然而您面临的更大难题是,如何利用这些信息制定出有实际意义的举措。这就需要您掌控这些信息,排定其优先顺序,并加以组织——所有这些必须迅速完成。捕获到的大部分事件信息是无关紧要或重复的,因此,过滤信息并在攻击发动之前迅速找到实际潜在的风险至关重要。
过滤可通过编写能够分离大量冗余信息和异常活动的自定义算法来完成。无论在企业内部还是在开放的互联网上,数据分析均基于已知攻击类型和流量历史数据。许多公司对安全问题的认知不够全面,也未将其作为分析的一部分对待,而事实上,安全问题已对全球范围的网络造成了巨大影响。此外,他们还缺乏可帮助其捕获数据并排定优先顺序的数据收集工具,比如分析软件。
要不断更新设备,企业还必须具有实现多种设备或设备类型关联,以及定期执行漏洞扫描的能力,这些功能需要不同的专业知识和人力资源。
降低安全风险二:集中化=简单+可靠
所有收集到的数据(来自面向公众的设备以及内部设备)应集中进行分析,以反映企业全貌。其目标应为简化信息,以帮助加快基于业务需求的优先顺序警报,并能够根据检测到的威胁或漏洞做出适当反应。
实现这一目标的最可靠方法之一,是通过网关与防火墙(位于不同网络结点的设备,如LAN与 WAN之间或WAN与互联网之间的设备)的统一视图收集事件数据,然后将其聚合到一个中央位置。无论这项功能是内部处理还是外包处理,跨设备的网络事件数据关联与聚合形成的企业全貌,可帮助您预测事件即将发生的时间,让您在其损害到企业之前主动化解这些事件,从而大幅降低风险。
强大的发现工具或第三方发现服务能够筛选数以亿计的警报,过滤掉不相关的数据,并将数据削减到100~200个需要网络分析师介入的事件。之后,分析师应能够解决约50个需要警惕的重要事件。
将事件削减到网络分析师能够处理的重要事件数量,是简化复杂/整体网络安全形势的关键步骤。如果本地IT员工的工作与其他站点的工作脱节,就必定会形成安全漏洞。
无论如何,跨国公司都必须应对不同国家/地区的不同法规和条例。这可能会导致不同的网络需要不同的防火墙策略设置。此外,防火墙补丁是定期发布的,而多数大型IT部门倾向于按某种优先顺序来为设备打补丁和升级。这一过程通常会导致优先级较低的站点疏于管理。实际上,一个站点的防火墙如果几年都未升过级,那就跟没有防火墙一样。
集中变更管理功能可外包给大型实体来予以简化,这些实体应具有规模效益、最新工具以及能够作为一个完整实体来评估和更新整个网络的安全专家。如果要内部处理这些事务,则需要在各个国家/地区雇用专家,这些专家应了解哪类信息可以在哪些国家/地区之间传递,负责维护能够获取每个国家/地区策略全貌并创建适用于所有策略的集中式策略的核心团队。
降低安全风险三:策略设置与实施
今天的许多防火墙和防火墙服务都将数量众多的安全功能合并到一个设备或服务之中。这些功能有多个“层级”,每个防火墙内集成的功能取决于介于各个站点之间(WAN 服务与专用网络、专用网络与公共互联网、公共服务器与专用网络等)的网络。另外,它们还取决于与该网段相关的漏洞/风险。
入侵防护工具可能会集成这样一类策略:对流量执行代表异常的特征码进行扫描。防火墙和安全软件厂商会针对已知恶意软件的特征码迅速制作并发送补丁,将其自动从流量中过滤掉。这就是必须确保所有设备不断更新的原因,新的威胁时时刻刻都在涌现。
安全程序还可以简单地寻找任何“不寻常”的活动——例如,特定服务器或其他计算机上出现非常多的通信请求,会使其过于“忙碌”,而造成用户无法访问。
根据某个企业必须遵从的一系列内部最佳做法和监管要求,用户访问列表和验证可能是基于角色的,且可能因国家/地区、行业而异。这对于加密数据是一样的,无论这些数据是保存在个人电脑硬盘上,还是使用IP Sec或SSL VPN专用“隧道”通过网络进行传输。
降低安全风险四:与可信第三方合作
今时今日,要保持不断更新自己分布全球的分支机构网络上日新月异的策略和安全设置(需要实施、评估和审核),是大型跨国企业面临的一道难题,甚至是一项不可能完成的任务。它们需要一个专注于该领域并经过授权的安全/网络运营中心(S/NOC)为其提供全天候不间断的政策和法规审查、风险评估、应对即将来临的警报并主动规避风险。
有些跨国企业会依靠自己的力量,努力管理和维护这些中心。只要新的法规和安全威胁不断出现,此类企业就必须不断为升级设备、软件和提高员工技能持续投资。
但是,也有很多跨国企业认为信息和网络安全体系并不属于公司的核心业务,不妨将持续监控、评估和审核这些工作交由专业、可信的合作伙伴来完成。
专业的第三方安全服务提供商提供的服务能够覆盖全球,并可随行业变化不断更新其工具和专业知识。他们具有超强的专业技能,每小时能够处理全球数百万件安全事件,并过滤出最重要和值得关注的事件。企业只需每月支付一些服务费,即可确保其第三方S/NOC合作伙伴具备最领先的工具和专业知识,来为企业的网络和IT基础架构提供全天候的保护。
此外,业务持续性所需的冗余也可在外包合作伙伴高度安全的S/NOC设施内自动建立起来,即自动设立设备冗余和网络线路冗余,以避免停机导致数据丢失。
【编辑推荐】
