抵御網(wǎng)絡攻擊的頂級安全工具

責任編輯:editor005

作者:鄒錚/編譯

2015-05-22 21:57:22

摘自:網(wǎng)界網(wǎng)

網(wǎng)絡攻擊是全球性威脅,而美國企業(yè)是頭號目標。Leach稱:“有效的監(jiān)控可以讓安全團隊保持靈活性,隨時準備應對新出現(xiàn)的風險,同時幫助控制投資和合規(guī)的成本。

網(wǎng)絡攻擊是全球性威脅,而美國企業(yè)是頭號目標。本文列出了安全專家認為最有價值的安全工具,用以抵御網(wǎng)絡攻擊。

在接受采訪的安全專家中,很多專家稱,對于安全問題,并沒有高招。貝爾維尤大學網(wǎng)絡安全研究主任Ron Woerner這樣說道:“并沒有最好的安全工具,這真的取決于情況、環(huán)境和個人喜好。當然,所有網(wǎng)絡、IT和安全專業(yè)人員的工具包中必須具備某些要素,其中最重要的是知識;也就是說,在哪里更多地了解特定的主題、技術(shù)或工具。我們不太可能知道所有一切知識;所以應該專注于從哪里獲得高質(zhì)量的指導意見和信息。”

Woerner推薦了兩個網(wǎng)站:www.howtogeek.com 和blogs.msdn.com/作為參考;以及兩個工具集:SysInternals和Windows GodMode。前者是簡單的Windows工具組,后者是控制面板中已經(jīng)有的管理應用程序。

中佛羅里達大學計算機科學和電氣工程助理教授Yier Jin也認為知識是關(guān)鍵,“網(wǎng)籃球意識是最好的工具,很多數(shù)據(jù)泄露事故都是由缺乏安全意識的內(nèi)部人員所造成。而對于工具,我推薦微軟增強減災應急工具包(EMET),這是每個公司都應該擁有的很好的工具”

戰(zhàn)略第一,其次是工具

Forrester研究公司高級安全/風險分析師Heidi Shey建議企業(yè)首先評估其安全成熟度以及其環(huán)境面臨的風險。否則,他們總是在追逐最新、最強大、最熱門的必備工具。在選擇工具之前,必須制定戰(zhàn)略。現(xiàn)在有很多模型可用于自我評估,包括COBIT、ITIL、NIST網(wǎng)絡安全框架;SANS協(xié)會Top 20 Critical Security Control,以及ISF的2013年Standard of Good Practice(SOGP)。

Shey表示:“評估安全成熟度的目的是幫助企業(yè)了解安全計劃和環(huán)境當前的情況、如何劃分責任,并確定提高安全成熟度的步驟。從而幫助企業(yè)篩選可行的安全工具。”

“信息安全正處于危機之中,改善這種狀況的主流做法是遷移到基于風險的模型,”隱私專業(yè)人員國際協(xié)會(International Association of Privacy Professionals)首席技術(shù)官Jeff Northrop稱,“企業(yè)必須首先進行適當?shù)娘L險評估,而這需要數(shù)據(jù)視圖,大多數(shù)大型企業(yè)缺乏這種信息,而不能遷移到基于風險的模型,這是一個問題。”

我們需要了解收集了哪些數(shù)據(jù);數(shù)據(jù)位于哪里;數(shù)據(jù)是如何被架構(gòu)、分類和使用以及誰可以訪問這些數(shù)據(jù)。有些供應商已經(jīng)認識到對其保護的數(shù)據(jù)提供更多信息的需要,企業(yè)可以利用他們的平臺來擴展其產(chǎn)品來滿足這方面的需求。Northrop推薦Informatica的Secure@Source;IBM的Q-Radar、HP的ArcSight和Splunk。他預計Oracle、SAP和Tableau Software等供應商,以及圍繞、Informix和Teradata等數(shù)據(jù)供應商很快也會加入這個陣列。

工具:管理

Northrop Grumman公司副總裁兼首席信息安全官Mike Papay稱,“對于破壞性惡意軟件和內(nèi)部人員造成的數(shù)據(jù)丟失的情況,企業(yè)應該部署由內(nèi)而外提供保護的安全工具。”

“我推薦特權(quán)身份管理(PIM)工具,它可控制管理密碼,在某些情況下,可以共享業(yè)務密碼和登錄憑證,”Forrester公司副總裁兼首席安全/風險分析師Andras Cser稱,“這些工具可以有效地防止數(shù)據(jù)泄露事故,讓系統(tǒng)管理員可以不間斷地訪問本地和云計算工作負載。PIM工具會檢查和更改關(guān)鍵工作負載的密碼,這可讓攻擊者獲取的管理員和根密碼毫無價值。此外,PIM會密切監(jiān)控和記錄所有對機器的程序或人類管理權(quán)限。”

“所有公司都應該有這三個工具:補丁管理、數(shù)據(jù)備份和全磁盤加密,”圣地亞哥市首席信息安全官Gary Hayslip稱,“這些工具提供了基本的網(wǎng)絡安全基礎(chǔ),讓企業(yè)可以繼續(xù)安全地發(fā)展和響應事故。然后,隨著收入流的增加,他們可以添加更多安全控制。如果只能選擇其中一個,我會選擇補丁管理。因為這可以保持IT資產(chǎn)的更新,更好地阻礙攻擊者。然而,誰也不能保證,一個解決方案可以解決所有問題。”

工具:云計算、移動

TribuneMedia公司高級副總裁兼首席信息官[注]David Giambruno建議企業(yè)轉(zhuǎn)移到軟件定義數(shù)據(jù)中心。“我們正在利用VMware解決方案的微分段功能,通常情況下,這在硬件方面很具有挑戰(zhàn)性,而在軟件世界,一切都像是一個文件,你可以保護一切事物,安全會如影隨形。”

Giambruno部署了Cyphort來查看云計算中的東西流量。這個基于虛擬機的設計提供快速部署,并與軟件定義數(shù)據(jù)中心整合。

“現(xiàn)在一個有趣的新領(lǐng)域是使用技術(shù)來在用戶和SaaS[注]解決方案之間提供一個層,讓企業(yè)可以管理身份驗證和加密,并保存密鑰,同時維持軟件即服務[注](SaaS)解決方案的全部功能,”John Deere全球安全戰(zhàn)略師兼安全架構(gòu)師John.D.Johnson博士稱,“另外還有新的云文件存儲和同步解決方案,其中添加了加密、數(shù)據(jù)丟失防護和細粒度報告。”

他補充說,對于管理移動設備中的數(shù)據(jù),他建議企業(yè)應選擇保持企業(yè)數(shù)據(jù)在容器中并防止數(shù)據(jù)移動或被記錄的產(chǎn)品,例如Bluebox,并部署企業(yè)規(guī)則。這可以在更可信的方式實現(xiàn)BYOD[注],而不需要強迫用戶遵守完整的移動設備解決方案。

[page]

監(jiān)控:縱深防御

根據(jù)Gartner副總裁兼著名分析師Neil MacDonald表示,信息安全的關(guān)鍵是縱深防御,其中包括防火墻、補丁修復、防病毒、SIEM、IPS等。MacDonald建議客戶首先刪除Windows用戶的管理權(quán)限,然后部署端點監(jiān)測和響應(EDR)解決方案,持續(xù)監(jiān)控和分析端點狀態(tài)。

他表示:“你不能依賴于無法阻止攻擊的技術(shù)來在事后檢測到攻擊,行業(yè)數(shù)據(jù)顯示,一般攻擊在被發(fā)現(xiàn)之前會保持隱蔽長達240天,而且,大多數(shù)攻擊不是企業(yè)自己所發(fā)現(xiàn),而是外部人員告知企業(yè)已受攻擊。”

MacDonald強調(diào),EDR解決方案提供持續(xù)可視性,當結(jié)合連續(xù)分析功能時,這可以幫助企業(yè)縮短攻擊者停留時間。單靠預防來抵御攻擊是徒勞的,畢竟,最終用戶是無法修復的軟目標。更重要的是快速檢測和響應攻擊。

“對于服務器工作負載,我會用應用程序控制解決方案來替換反惡意軟件掃描,”他表示,“以阻止所有未經(jīng)授權(quán)代碼的執(zhí)行,而這可以幫助杜絕大多數(shù)惡意軟件。這應該是保護數(shù)據(jù)中心和基于云計算[注]的工作負載的主要安全控制。”

PCI安全標準委員會首席技術(shù)官Troy Leach同意稱:“PCI標準倡導對安全采取縱深防御的做法。根本的策略很簡單:部署針對不同風險載體的安全控制,幫助企業(yè)減少數(shù)據(jù)泄露事故發(fā)生的機率,保護持卡人數(shù)據(jù)的安全。但這個戰(zhàn)略的成功通常還取決于監(jiān)控做法。”

Leach認為,通過監(jiān)控安全控制提供的性能和數(shù)據(jù),可以改進安全態(tài)勢和技術(shù)操作。連續(xù)監(jiān)控是讓你實時了解安全情況的關(guān)鍵機制。企業(yè)應專注于監(jiān)控關(guān)鍵領(lǐng)域的數(shù)據(jù),例如控制對持卡人數(shù)據(jù)訪問的系統(tǒng)以及在后臺運行過期軟件或安全簽名的電腦。

Leach稱:“有效的監(jiān)控可以讓安全團隊保持靈活性,隨時準備應對新出現(xiàn)的風險,同時幫助控制投資和合規(guī)的成本。PCI委員會建議企業(yè)不斷評估其監(jiān)控安全控制的有效性,讓安全團隊可及時應對新威脅。”

監(jiān)控:連續(xù)監(jiān)控

弗吉尼亞理工大學IT安全實驗室主任兼安全官Randy Marchany也認為,與常見的外圍防御戰(zhàn)略相比,整體安全策略更有效。靜態(tài)外圍防御的問題在于,大多數(shù)企業(yè)專注于入站流量,而不是出站流量。連續(xù)監(jiān)控則專注于流量和日志分析。

連續(xù)監(jiān)控提供了一種方法來有效檢測、遏制和消滅攻擊。Marchany認為連續(xù)監(jiān)控的目標應包括:監(jiān)控到可疑網(wǎng)站的出站流量;搜索網(wǎng)絡內(nèi)受感染機器;并利用分析來確定敏感數(shù)據(jù)是否泄漏。

他推薦FireEye惡意檢測設備、Netflow數(shù)據(jù)(其中提供了有價值的信息來幫助企業(yè)確定內(nèi)部及其是否受感染),以及ARGUS Software、SiLK(System for Internet-Level Knowledge)等工具(+本站微信networkworldweixin),還有Bro網(wǎng)絡安全分析儀。

Nemertes Research首席執(zhí)行官Johna Till Johnson建議企業(yè)專注于高級安全分析(ASA),這是新興的安全產(chǎn)品和服務類別,提供對環(huán)境的實時洞察,以發(fā)現(xiàn)潛在數(shù)據(jù)泄露或漏洞。ASA包含現(xiàn)有安全事件/事故管理和監(jiān)控(SIEM),并添加了大數(shù)據(jù)[注]分析功能。它還涵蓋了早期的取證和入侵檢測系統(tǒng)/入侵防御系統(tǒng)(IDS/IPS)。這些功能包括用戶行為分析—可檢測、報告用戶可疑行為,以及可視化功能。

為什么企業(yè)需要ASA以及UBA?為了抵御多因素威脅,特別是來自網(wǎng)絡內(nèi)的不知名攻擊。通常情況下,檢測高級持續(xù)威脅的唯一方法是檢測異常行為,如果你不知道正常行為是怎樣,那么這會很有挑戰(zhàn)性。而有了UBA,你不需要知道正常行為是怎樣,該系統(tǒng)會幫你。

Johnson推薦Agiliance、Blue Coat、Damballa、FireEye、Guidance、HP ArcSight、IBM、Lastline、LogRhythm、McAfee/Intel和Splunk等供應商的ASA工具。

人是關(guān)鍵

“如果你想實現(xiàn)真正的安全性,人員是關(guān)鍵,”德克薩斯州信息資源部首席信息安全官Eddie Block稱,“他們負責配置防火墻、更新防病毒軟件、修復服務器以及其他各種工具,來最大限度地阻止數(shù)據(jù)泄露和入侵。他們在前線審查日志,查找其中的可疑線索,然后弄清楚發(fā)生了什么事。如果部署了合適的人員,在過去幾個月發(fā)生的很多大規(guī)模數(shù)據(jù)泄露事故原本可以在早期就被發(fā)現(xiàn),日志文件并沒有什么趣味,但如果你真正想了解你的安全狀況,應該在日志服務器中安排一個充滿好奇的人。”

Forrester研究公司首席安全/風險分析師Rick Holland稱,“我認為最好的安全工具是協(xié)作工具,這些工具可以讓我們分散的員工更好地溝通和協(xié)作。我們需要投資于這些工具,以提高人員的工作效率和靈活性。”

Lockheed Martin公司網(wǎng)絡安全和高級分析主管Guy Delp認為,重點應放在招募合適的網(wǎng)絡安全人才,他們可以利用現(xiàn)有投資和把握安全的各個方面。他向企業(yè)提出這些問題:網(wǎng)絡可視性問題是否應該解決?現(xiàn)有工具是否得到充分利用,以及基礎(chǔ)設施內(nèi)是否部署有開源工具。

“在投資于關(guān)鍵人才時,考慮三個基本標準:平衡性、適應性和影響力,”他稱,“知道任務的技術(shù)方面并不夠,關(guān)鍵人才還必須是領(lǐng)導者,共享信息、指導和激勵他人。最成功的人才可以同時了解其環(huán)境的技術(shù)和政策方面。同時,適應能力也很重要。”

SANS研究所首席信息安全官Frank Kim認為,對于高級威脅,可檢測攻擊者和異?;顒拥陌踩δ芨又匾?。因此,威脅情報和信息共享是現(xiàn)代網(wǎng)絡防御的重要方面。但這并不只是分享攻擊指標,也涉及高級分析和挖掘內(nèi)部及外部數(shù)據(jù)源的能力。構(gòu)建數(shù)據(jù)科學能力來智能分析海量信息,為企業(yè)提供了可操作的信息,讓安全團隊能夠更迅速地作出反應。而對于保護關(guān)鍵資產(chǎn),關(guān)鍵在于部署擁有合適技能和專業(yè)知識的合適的人員。

加州黑斯廷斯大學創(chuàng)新法律研究所兼職教授Jill Bronfman稱,在涉及員工和消費者信息的情況中,例如醫(yī)療保健、金融和/或企業(yè)及個人數(shù)據(jù),企業(yè)最好安排跨職能安全專家團隊負責。她建議提前成立小組,其中應包含法律、IT、CTO、CIO、人力資源、風險管理、公共關(guān)系/市場影響、消費者關(guān)系、監(jiān)管/政府和相關(guān)供應商,然后對他們培訓事件響應計劃。這里的關(guān)鍵是確定負責每個職能的個人,并在事故發(fā)生時,提供可操作的清單。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號