网络攻击是全球性威胁,而美国企业是头号目标。本文列出了安全专家认为最有价值的安全工具,用以抵御网络攻击。
在接受采访的安全专家中,很多专家称,对于安全问题,并没有高招。贝尔维尤大学网络安全研究主任Ron Woerner这样说道:“并没有最好的安全工具,这真的取决于情况、环境和个人喜好。当然,所有网络、IT和安全专业人员的工具包中必须具备某些要素,其中最重要的是知识;也就是说,在哪里更多地了解特定的主题、技术或工具。我们不太可能知道所有一切知识;所以应该专注于从哪里获得高质量的指导意见和信息。”
Woerner推荐了两个网站:www.howtogeek.com 和blogs.msdn.com/作为参考;以及两个工具集:SysInternals和Windows GodMode。前者是简单的Windows工具组,后者是控制面板中已经有的管理应用程序。
中佛罗里达大学计算机科学和电气工程助理教授Yier Jin也认为知识是关键,“网篮球意识是最好的工具,很多数据泄露事故都是由缺乏安全意识的内部人员所造成。而对于工具,我推荐微软增强减灾应急工具包(EMET),这是每个公司都应该拥有的很好的工具”
战略第一,其次是工具
Forrester研究公司高级安全/风险分析师Heidi Shey建议企业首先评估其安全成熟度以及其环境面临的风险。否则,他们总是在追逐最新、最强大、最热门的必备工具。在选择工具之前,必须制定战略。现在有很多模型可用于自我评估,包括COBIT、ITIL、NIST网络安全框架;SANS协会Top 20 Critical Security Control,以及ISF的2013年Standard of Good Practice(SOGP)。
Shey表示:“评估安全成熟度的目的是帮助企业了解安全计划和环境当前的情况、如何划分责任,并确定提高安全成熟度的步骤。从而帮助企业筛选可行的安全工具。”
“信息安全正处于危机之中,改善这种状况的主流做法是迁移到基于风险的模型,”隐私专业人员国际协会(International Association of Privacy Professionals)首席技术官Jeff Northrop称,“企业必须首先进行适当的风险评估,而这需要数据视图,大多数大型企业缺乏这种信息,而不能迁移到基于风险的模型,这是一个问题。”
我们需要了解收集了哪些数据;数据位于哪里;数据是如何被架构、分类和使用以及谁可以访问这些数据。有些供应商已经认识到对其保护的数据提供更多信息的需要,企业可以利用他们的平台来扩展其产品来满足这方面的需求。Northrop推荐Informatica的Secure@Source;IBM的Q-Radar、HP的ArcSight和Splunk。他预计Oracle、SAP和Tableau Software等供应商,以及围绕、Informix和Teradata等数据供应商很快也会加入这个阵列。
工具:管理
Northrop Grumman公司副总裁兼首席信息安全官Mike Papay称,“对于破坏性恶意软件和内部人员造成的数据丢失的情况,企业应该部署由内而外提供保护的安全工具。”
“我推荐特权身份管理(PIM)工具,它可控制管理密码,在某些情况下,可以共享业务密码和登录凭证,”Forrester公司副总裁兼首席安全/风险分析师Andras Cser称,“这些工具可以有效地防止数据泄露事故,让系统管理员可以不间断地访问本地和云计算工作负载。PIM工具会检查和更改关键工作负载的密码,这可让攻击者获取的管理员和根密码毫无价值。此外,PIM会密切监控和记录所有对机器的程序或人类管理权限。”
“所有公司都应该有这三个工具:补丁管理、数据备份和全磁盘加密,”圣地亚哥市首席信息安全官Gary Hayslip称,“这些工具提供了基本的网络安全基础,让企业可以继续安全地发展和响应事故。然后,随着收入流的增加,他们可以添加更多安全控制。如果只能选择其中一个,我会选择补丁管理。因为这可以保持IT资产的更新,更好地阻碍攻击者。然而,谁也不能保证,一个解决方案可以解决所有问题。”
工具:云计算、移动
TribuneMedia公司高级副总裁兼首席信息官[注]David Giambruno建议企业转移到软件定义数据中心。“我们正在利用VMware解决方案的微分段功能,通常情况下,这在硬件方面很具有挑战性,而在软件世界,一切都像是一个文件,你可以保护一切事物,安全会如影随形。”
Giambruno部署了Cyphort来查看云计算中的东西流量。这个基于虚拟机的设计提供快速部署,并与软件定义数据中心整合。
“现在一个有趣的新领域是使用技术来在用户和SaaS[注]解决方案之间提供一个层,让企业可以管理身份验证和加密,并保存密钥,同时维持软件即服务[注](SaaS)解决方案的全部功能,”John Deere全球安全战略师兼安全架构师John.D.Johnson博士称,“另外还有新的云文件存储和同步解决方案,其中添加了加密、数据丢失防护和细粒度报告。”
他补充说,对于管理移动设备中的数据,他建议企业应选择保持企业数据在容器中并防止数据移动或被记录的产品,例如Bluebox,并部署企业规则。这可以在更可信的方式实现BYOD[注],而不需要强迫用户遵守完整的移动设备解决方案。#p#
监控:纵深防御
根据Gartner副总裁兼著名分析师Neil MacDonald表示,信息安全的关键是纵深防御,其中包括防火墙、补丁修复、防病毒、SIEM、IPS等。MacDonald建议客户首先删除Windows用户的管理权限,然后部署端点监测和响应(EDR)解决方案,持续监控和分析端点状态。
他表示:“你不能依赖于无法阻止攻击的技术来在事后检测到攻击,行业数据显示,一般攻击在被发现之前会保持隐蔽长达240天,而且,大多数攻击不是企业自己所发现,而是外部人员告知企业已受攻击。”
MacDonald强调,EDR解决方案提供持续可视性,当结合连续分析功能时,这可以帮助企业缩短攻击者停留时间。单靠预防来抵御攻击是徒劳的,毕竟,最终用户是无法修复的软目标。更重要的是快速检测和响应攻击。
“对于服务器工作负载,我会用应用程序控制解决方案来替换反恶意软件扫描,”他表示,“以阻止所有未经授权代码的执行,而这可以帮助杜绝大多数恶意软件。这应该是保护数据中心和基于云计算[注]的工作负载的主要安全控制。”
PCI安全标准委员会首席技术官Troy Leach同意称:“PCI标准倡导对安全采取纵深防御的做法。根本的策略很简单:部署针对不同风险载体的安全控制,帮助企业减少数据泄露事故发生的机率,保护持卡人数据的安全。但这个战略的成功通常还取决于监控做法。”
Leach认为,通过监控安全控制提供的性能和数据,可以改进安全态势和技术操作。连续监控是让你实时了解安全情况的关键机制。企业应专注于监控关键领域的数据,例如控制对持卡人数据访问的系统以及在后台运行过期软件或安全签名的电脑。
Leach称:“有效的监控可以让安全团队保持灵活性,随时准备应对新出现的风险,同时帮助控制投资和合规的成本。PCI委员会建议企业不断评估其监控安全控制的有效性,让安全团队可及时应对新威胁。”
监控:连续监控
弗吉尼亚理工大学IT安全实验室主任兼安全官Randy Marchany也认为,与常见的外围防御战略相比,整体安全策略更有效。静态外围防御的问题在于,大多数企业专注于入站流量,而不是出站流量。连续监控则专注于流量和日志分析。
连续监控提供了一种方法来有效检测、遏制和消灭攻击。Marchany认为连续监控的目标应包括:监控到可疑网站的出站流量;搜索网络内受感染机器;并利用分析来确定敏感数据是否泄漏。
他推荐FireEye恶意检测设备、Netflow数据(其中提供了有价值的信息来帮助企业确定内部及其是否受感染),以及ARGUS Software、SiLK(System for Internet-Level Knowledge)等工具(+本站微信networkworldweixin),还有Bro网络安全分析仪。
Nemertes Research首席执行官Johna Till Johnson建议企业专注于高级安全分析(ASA),这是新兴的安全产品和服务类别,提供对环境的实时洞察,以发现潜在数据泄露或漏洞。ASA包含现有安全事件/事故管理和监控(SIEM),并添加了大数据[注]分析功能。它还涵盖了早期的取证和入侵检测系统/入侵防御系统(IDS/IPS)。这些功能包括用户行为分析—可检测、报告用户可疑行为,以及可视化功能。
为什么企业需要ASA以及UBA?为了抵御多因素威胁,特别是来自网络内的不知名攻击。通常情况下,检测高级持续威胁的唯一方法是检测异常行为,如果你不知道正常行为是怎样,那么这会很有挑战性。而有了UBA,你不需要知道正常行为是怎样,该系统会帮你。
Johnson推荐Agiliance、Blue Coat、Damballa、FireEye、Guidance、HP ArcSight、IBM、Lastline、LogRhythm、McAfee/Intel和Splunk等供应商的ASA工具。
人是关键
“如果你想实现真正的安全性,人员是关键,”德克萨斯州信息资源部首席信息安全官Eddie Block称,“他们负责配置防火墙、更新防病毒软件、修复服务器以及其他各种工具,来最大限度地阻止数据泄露和入侵。他们在前线审查日志,查找其中的可疑线索,然后弄清楚发生了什么事。如果部署了合适的人员,在过去几个月发生的很多大规模数据泄露事故原本可以在早期就被发现,日志文件并没有什么趣味,但如果你真正想了解你的安全状况,应该在日志服务器中安排一个充满好奇的人。”
Forrester研究公司首席安全/风险分析师Rick Holland称,“我认为最好的安全工具是协作工具,这些工具可以让我们分散的员工更好地沟通和协作。我们需要投资于这些工具,以提高人员的工作效率和灵活性。”
Lockheed Martin公司网络安全和高级分析主管Guy Delp认为,重点应放在招募合适的网络安全人才,他们可以利用现有投资和把握安全的各个方面。他向企业提出这些问题:网络可视性问题是否应该解决?现有工具是否得到充分利用,以及基础设施内是否部署有开源工具。
“在投资于关键人才时,考虑三个基本标准:平衡性、适应性和影响力,”他称,“知道任务的技术方面并不够,关键人才还必须是领导者,共享信息、指导和激励他人。最成功的人才可以同时了解其环境的技术和政策方面。同时,适应能力也很重要。”
SANS研究所首席信息安全官Frank Kim认为,对于高级威胁,可检测攻击者和异常活动的安全功能更加重要。因此,威胁情报和信息共享是现代网络防御的重要方面。但这并不只是分享攻击指标,也涉及高级分析和挖掘内部及外部数据源的能力。构建数据科学能力来智能分析海量信息,为企业提供了可操作的信息,让安全团队能够更迅速地作出反应。而对于保护关键资产,关键在于部署拥有合适技能和专业知识的合适的人员。
加州黑斯廷斯大学创新法律研究所兼职教授Jill Bronfman称,在涉及员工和消费者信息的情况中,例如医疗保健、金融和/或企业及个人数据,企业最好安排跨职能安全专家团队负责。她建议提前成立小组,其中应包含法律、IT、CTO、CIO、人力资源、风险管理、公共关系/市场影响、消费者关系、监管/政府和相关供应商,然后对他们培训事件响应计划。这里的关键是确定负责每个职能的个人,并在事故发生时,提供可操作的清单。
