实现更好的企业安全的五大贴士
您企业当前的相关安全策略和程序是否真的有助于实现更好的安全,或者您企业的这些安全策略和程序只是关注于寻找已知的恶意软件,却忽略了某些人为因素呢?对于许多企业而言,这是一个相当棘手的问题。
最近几个月在美国各大机构所发生的数据泄露事件无疑引发了人们对于当前安全工具的有效性以及应对和处理新兴安全威胁的相关方法的关注和讨论。
在过去的十年中,私营或公开上市企业已经在加强安全性方面花费了数百亿美元,然而,恶意攻击者们依然一直能够通过各种方式成功地逃避企业所设置的重重安全防范措施。
这一趋势已经使得许多企业纷纷接受并采用一种回归到基本的方法:开始将重点放在工作人员、流程和技术上。而不是把安全功能方面的支出视为企业经营的一项麻烦的成本,越来越多的企业开始将其作为一项大力推动的新的战略举措。
“安全性和产品开发并不是相互排斥的。” 万事达卡的首席信息安全官Ron Green表示说。“我们并不将安全性作为一项孤立的责任。”
相反,万事达卡的安全专家们都在与其他专注于身份验证创新业务的团队合作,包括诸如万事达实验室、新兴的支付和企业安全解决方案团队,Green说。此举的重点是产品的长期管理和使用安全,并利用安全提高持卡人的用户体验。
“我们的高管团队期望我们能够将安全性纳入到我们每一项标准的实践中。” Green说。虽然这种做法可能会增加项目进度的时间成本,但这些成本是值得的。 “安全性已然成为吸引客户的一大筹码,而每家企业都需要为其客户提供足够的安全性。”他说。
企业的IT领导们在战略层面需要从如下五大关键措施入手,以加强安全性。而不同企业实施这些措施的方式可能会因企业具体的战术和操作水平有所不同。但关键的是要把重点放在高层次的目标上。
1、加强网络边界的保护
周边技术,如防病毒工具,防火墙和入侵检测系统,长久以来一直是企业安全战略的支柱。这些周边技术通过寻找特定的标记,或签名,已知病毒和其它类型的恶意软件,然后阻止恶意程序。
较之其他更多安全产品类别的产品,多年来,公共和私营企业都倾向于在周边安全工具方面花费更多的成本。但分析师们则警告说,对于保持系统的安全而言,仅仅靠外围防护是远远不够的。
但是,多家大型企业遭遇严重的数据泄露事故的残酷现实已然表明,基于签名的周边安全工具对于应对现如今恶意黑客所采用的有高度针对性的攻击行为是无效的。少数企业似乎准备完全放弃周边安全技术,而仍有许多企业坚持认为这些工具对于防止恶意软件发挥了重要作用。尽管如此,将周边安全技术作为唯一的,甚至是主要的防线是不够的,IBM安全研究员Marco Pistoia说。
“一系列的网络安全攻击已经表明,现在的黑客们能够绕过几乎任何类型的物理限制。”Pistoia说。“基于周边的安全防御技术仍然是必需的,但这些手段并不足以保证一个计算系统的安全性。”
从战略和战术的角度来看,企业将以周边安全技术作为安全链的必要环节之一是很重要的。
同样重要的是模式识别和预测性分析工具,可以帮助企业建立正常的网络活动的基准,然后找出行为偏差。正如在需要网络防火墙以阻止已知的安全威胁一样,企业也同样需要Web应用程序防火墙来防御那些设法突破周边安全工具的恶意软件,位于加州的法律公司Fenwick & West的CIO Matt Kesner表示说。
“在技术方面,我们仍然在花费时间和金钱在周边外围方面。”Kesner说。但已然不再仅仅盯住更多在网络边缘基于签名的拦截功能,Kesner已经在网络的各个层面建立了冗余恶意软件拦截系统和防火墙,包括在该公司Web应用程序服务器的前面。Fenwick & West公司使用日志事件协调系统,使IT能够从网络上的所有设备聚合、关联和分析日志记录和规则信息。
Kesner还部署了几款来自利基供应商的产品,以实现诸如搜索可疑特权升级和寻找隐藏极深的网络入侵者的证据等特殊功能。“我们花了大量的时间,以确保周边安全技术能够符合我们的预期。”Kesner说。“我们假设漏洞违规行为必然会发生,并希望能够更好地对其进行防范。”
最近几年已经发展出了一类专业化的新产品的特点就是所谓的“杀链”工具。可从诸如Palo Alto Networks这样的供应商处购买,这些系统不仅能够帮助企业寻找恶意软件;同时还能够监视黑客如何利用恶意程序进入网络,而这些信息最终帮助企业用户消除安全威胁。
许多工具都是基于个别黑客和黑客团体通常使用相同的恶意软件工具,并在攻击目标时,会遵循一套模式的前提。因此,通过确定安全攻击背后的个体或者黑客团队,企业防御特定工具以及攻击手段就会变得更容易。
2、建立检测和响应能力
现如今绝大多数针对企业的攻击都是由犯罪团伙或国家作为背后支持者针对性的策划进行的。过去的那些随机性的,漫无目标的攻击活动都已经由经过精心设计,以获取企业信息、知识产权、商业秘密和财务数据为目的的攻击所取代了。相较于以往那种哪痛医哪的思路,如今企业应当高度重视那些表现得非常低调,而且倾向于一点点慢慢获取数据的攻击行为。事实上这帮黑客变得极有耐心,他们可以拿出很长时间逐渐拼凑出自己想要的信息。
在这样的环境中,任何安全策略都应该尽可能多地强调将检测和响应纳入到预防中。
“基于静态规则和签名的预防工具无法阻止确定的先进的攻击。”EMC安全部门RSA技术解决方案主管Rob Sadowski说。因此,重要的是,优先考虑早期检测和响应,以确保黑客入侵不会导致业务受损或商业损失,他说。
为了推动这种变化,IT领导者们需要使用能够在可视性方面提供更多细粒度的工具,以便他们更多的了解基础设施的情况,Sadowski说。
这是必要的,例如,增强现有的以日志为中心的网络数据包捕获和端点监测技术,使安全管理员能够获得对于攻击者活动的更全面的了解。
在发现和限制由凭据和身份所造成损害的影响方面,利用身份管理,身份治理和行为分析工具,也同样重要,Sadowski指出。
万事达卡的Green说,企业需要采取一种多层的方法来确保安全。“如果你企业只是寻找一种方法,可能不能涵盖所有需求。”他认为企业过于依赖于基于签名的周边安全技术。
这种多层方法应包括防范内部攻击,而不仅仅是防御外部攻击的手段。“企业内部的安全威胁往往更具挑战性,” Green说。“所以,企业应该有套强大的和分层的安全计划,能够解决企业内部和外部的安全威胁,并允许您在问题出现的情况下,快速识别并解决。”
3、安全代码开发
脆弱而易受攻击的Web网络应用程序经常会为黑客提供对于企业网络和数据相对容易的访问,所以确保这些网络应用程序的安全是至关重要的,进而才能确保数据的完整性和保密性。
常见的、易于理解的不足之处,如SQL注入错误、跨站点脚本缺陷、失效的验证和会话管理功能都难倒了许多企业。但最近一波主要针对大型企业的黑客入侵组织真正推动了对于安全代码的需要。
“如果你企业正在开发一款应用程序,随之需要考虑的便是安全方面的期望。” Green说。“当涉及到安全和隐私保护时,您肯定希望从供应商那里购买的技术都是他们最顶尖的巅峰技术。”这同样也适用于供应链合作伙伴和产品服务的其他供应商,他补充道。
硬化的计算系统的软件组件是特别棘手的,因为漏洞可以被嵌套在代码深处, IBM的Pistoia说。为了防止应用程序被攻击,从而维护数据的完整性,企业必须让安全管理成为软件生命周期的所有阶段的一部分,而适当的代码审查的做法也需要到位,他说。
对于许多大型企业而言,手工进行代码审查的成本将是非常昂贵的。所以一个可行的选择方案将是采用自动的方法,通过将静态和动态程序分析相结合,并让代码分析处理成为应用程序开发的一个组成部分。
“高级应用程序开发系统现在可以在每次提交或基于一定的周期进行应用程序的代码检查。” Pistoia说。其向应用程序开发人员们显示了需要进行简洁修复和易于遵循的步骤,他补充道。
“应用层已经成为网络安全最新的战场,其不仅仅是安全团队的焦点,同时也是企业系统开发生命周期团队所关注的重点。”在线发票和支付平台供应商Viewpost公司的总顾问和首席安全官Chris Pierson表示说。
将重点聚焦在静态和动态代码审查已经成为更多的产品开发管道,他补充说,IT专业人员更注重的开放Web应用安全项目的前10大安全隐患。
重要的是,越来越多地采用DevOps方法给一些机构带来了在软件开发生命周期的早期阶段集成安全性的契机。“安全性是推动DevOps采用的一个很大的因素。” 信息安全专家兼DevOps.com网站主编Alan Shimel说。
开发和运营团队必须认识到,安全必须是他们共同的责任,并需要在产品生命周期的早期,进行整合控制。它需要更经常比现在发生了什么事情发生,他说。 “我们仍然处在需要说服大多数企业的安全团队DevOps可以有助于提升安全性的阶段。”Shimel说。
4、关注人为因素
近年来,许多最大的攻击在其最初都是相当无害的,随着??攻击者逐步进入网络,使用合法用户,如员工,商业伙伴或供应商的登录凭据进入网络。黑客利用社会工程技术和钓鱼电子邮件盗取属于别人的用户名和密码,进而访问企业网络,然后借助该最初的立足点查找和访问关键的企业系统和数据存储。
这一战术曾被入侵者用来攻击过的目标包括:Target、Home Depot、美国人事管理办公室及其他网站。这些机构现在已经把注意力集中在了对员工和其他授权用户需要更多地了解安全风险和培训方面,以确保用户能够识别和抵抗潜在威胁。
“企业员工真的需要明白自己在保护公司资产中所发挥的作用”万事达卡的Green说。
在许多情况下,对企业数据有访问权限的员工用户并不觉得个人有义务保护对数据的访问。为了鼓励这样的用户接受一些维护企业系统的责任,Green说万事达卡公司采用的政策是“构建学习文化,以便我们可以定期教育员工,让他们了解如何保护我们的资产更安全,特别是当新的威胁出现时。”
作为这方面努力的一部分,万事达卡结合了传统的训练方法和Green所谓的“寓教于乐的方法”来传递重要的信息。“因为犯罪分子总是越来越聪明,我们必须在加强保护的意识方面必须领先他们一步。”他说。这个想法是为了给员工留下深刻印象:他们是安全团队的一部分,即使他们可能不会向安全团队报告工作。
“正因为如此,现在已出现了创造性的方式来加强我们的安全。”Green说,并介绍了一项安全倡议呼吁保护持卡人数据,成为安全网,该安全倡议是由万事达卡于去年十月发起的。
5、保护您的业务流程
一家拥有最好的安全技术的企业,仍然可能会被坏的实践操作方法和流程所绊倒。这就是为什么Fenwick & West的IT部门会实施Kesner所说的针对企业涉及敏感数据处理的政策和过程需要进行相关大大小小的改变的原因了。
例如,在过去,这家法律公司的政策是尽可能采取加密传入和传出的客户端数据的方法。而现在,这已经是一项绝对的要求。Kesner的团队还实施了新政策,以确保对公司存储区域网络的数据是加密的,而且在传输过程中也是加密的。所有公司的笔记本电脑和台式机的敏感数据均是加密的,IT每六个月运行审计和测试,以验证这些加密。
该法律公司有第三方和安全公司定期来做渗透测试和模拟攻击,而且没有什么禁区限制。“有了适当的保密协议,我们可以让安全工程师针对每件事情执行渗透测试。”Kesner说。之后,IT团队要求安全服务公司给出一份名单,详细列出他们需要在实际的安全政策方面需要改革的五项变化。
Fenwick & West公司现在要求所有的合作伙伴,以书面披露他们的安全实践的完整细节,并承认他们了解法律公司的安全政策和流程。合作伙伴必须实施双因素身份验证,不再允许使用用户名和密码到Fenwick网络进行验证。
各种各样的企业都在采取类似的方法。网络安全是一项首要任务,而企业领导团队和董事会也承认这一事实。“企业董事会希望和要求了解公司的网络安全的立场是从控制、治理和运营的角度来看的。”Viewpost的Pierson说。
“如果你想吸引并留住客户的信任,安全和隐私必须成为你企业的文化和价值主张。”