大公司網(wǎng)絡安全環(huán)境遭遇著更大的挑戰(zhàn),要知道一個公司應對網(wǎng)絡攻擊的最佳時間窗口是“黃金一小時”。
5月的最后一周勢必讓中國企業(yè)印象深刻,網(wǎng)絡安全問題就像傳染病一樣在它們面前蔓延。
5月27日18時,支付寶宕機超過90分鐘,最終公布的原因是“光纖被挖斷”。攜程于次日上午11時出現(xiàn)相同的情況,宕機持續(xù)12小時,網(wǎng)站直至當晚11時才全面恢復正常,而攜程官方公布的事故原因是“員工錯誤操作”。
企業(yè)對網(wǎng)絡安全不夠重視,并以宕機的方式讓消費者感知到,顯然不是一件好事。攜程受到的波及更加直接,根據(jù)第一季度財報數(shù)據(jù)計算,在12小時的宕機過程中,預計其損失高達1277萬美元(約合7900萬元人民幣)。
這兩起事件并非個案,網(wǎng)易和多家券商交易系統(tǒng)也于5月下旬先后崩潰過。英特爾近期發(fā)布的一份名為《應對攻擊事件的監(jiān)測及響應》的報告,印證了網(wǎng)絡安全正在成為一個普遍存在的問題。
這份針對全球700名IT及網(wǎng)絡安全人士的調(diào)查顯示,幾乎所有受訪者都淹沒在了層出不窮的安全事件中。去年,他們所在的組織平均遭遇了78次的安全事故,這個數(shù)字已經(jīng)表明網(wǎng)絡安全環(huán)境正遭受著很大的挑戰(zhàn)。
似乎大企業(yè)更容易成為網(wǎng)絡攻擊的箭靶,企業(yè)規(guī)模與受攻擊次數(shù)之間存在著較強的正相關關系。根據(jù)統(tǒng)計,雇員在1000人以下的小型公司去年平均受到了31次攻擊,人數(shù)在1000至4999人之間的中型公司遭到的攻擊次數(shù)為41次,而那些超過5000人的大型公司去年遭受的攻擊行為平均高達150次,是小型公司的近5倍。
但帶來重大損失的也許并不是攻擊本身,而是遲緩的反應速度。
“監(jiān)測、調(diào)查以及響應網(wǎng)絡攻擊的時間越長,敏感數(shù)據(jù)泄露的可能性就越無法排除,這會帶來高昂的代價。”資深網(wǎng)絡安全分析師Jon Oltsik說。
那么,企業(yè)應對網(wǎng)絡攻擊的最佳時間窗口有多長呢?答案是“黃金一小時”。
這是醫(yī)學行業(yè)的術語,指的是創(chuàng)傷患者需要在一小時內(nèi)得到有效地看護和診治,這樣會大大降低傷亡的可能性。
與突發(fā)事件造成的創(chuàng)傷一樣,網(wǎng)絡攻擊給企業(yè)系統(tǒng)切開了一條傷口,如果無法在最短的時間內(nèi)妥善處理,那么攻擊帶來的傷害就會擴大。“速度非常重要。黃金一小時需要從探測到攻擊跡象時開始計算。而對數(shù)據(jù)進行手動分析,一定會拖慢我們在這一關鍵時間段內(nèi)的反應速度。”英特爾公司安全總經(jīng)理Kris Young說。
當被問及在事件監(jiān)測和響應任務中哪些過程最耗時,確定安全事件的影響及波及范圍是最常被提及的答案,有47%的受訪者對此感到頭疼。在這個過程中安全人員需要弄清的問題包括,系統(tǒng)內(nèi)發(fā)生了什么變化,這個變化導致了什么問題,是否有其他系統(tǒng)也受到了感染?排查這些問題會消耗大量的時間。
另外,有42%的受訪者認為采取行動將攻擊影響降至最低比較耗時,在這期間他們往往需要讓系統(tǒng)離線以及將網(wǎng)絡進行分割。通過分析情報進行安全事件的監(jiān)測,在耗時調(diào)查中位列第三,41%的網(wǎng)絡安全人員選擇了這一選項。
事實上,在實際操作過程中,企業(yè)并不會在第一時間發(fā)現(xiàn)它們正遭受攻擊。而當偵測到危機不斷擴大時,一系列耗時的工作相互疊加,可能需要數(shù)天、數(shù)周、乃至數(shù)月才能完成。這在網(wǎng)絡安全受到威脅的情況下,將會是一種災難。
在調(diào)查中,37%的受訪者認為企業(yè)需要有效整合所掌握的安全情報,以及使用的IT運營工具。尤其在大型企業(yè)中,各個部門之間往往使用的是不同的安全工具,導致安全系統(tǒng)相互割裂,無法對收集的數(shù)據(jù)和情報進行有效地共享,使得實時判定正在發(fā)生的網(wǎng)絡襲擊變得困難。
當被問及安全技術及工具間缺乏整合和溝通,是否是導致事件監(jiān)測和響應異常困難的原因時,高達79%的受訪者給出了肯定的答案,26%的安全專業(yè)人員甚至覺得這可以算是一個很大的問題。因此首席安全信息官們需要考慮,在未來3年制定一個企業(yè)層面的安全架構來進行安全工具的相互整合,從而取代目前安全工具呈點狀分布的格局。
在微觀層面,安全人士同樣提出了自己的建議。58%的受訪者希望獲得更好的監(jiān)測工具,53%的受訪者希望能夠獲得更好的分析工具,以便將安全數(shù)據(jù)轉(zhuǎn)化成具有可操作性的情報。27%的受訪者提到了希望利用安全情報工具進行更好地自動化分析,在網(wǎng)絡攻擊日漸頻繁的情況下,手動分析已經(jīng)不太適合這種快速變化的節(jié)奏,在更大范圍內(nèi)進行分析的自動化將成為一種必然趨勢。
針對網(wǎng)絡安全進行持續(xù)不斷地教育同樣是企業(yè)下一階段工作的重點。一個具體的例子是,當被問到是否熟悉惡意代碼混淆的相關技術時,只有45%的受訪者表示非常熟悉,對這一技術并不熟悉的技術人員甚至達到了8%。
另外,41%的受訪者表示需要更好地理解用戶行為,而希望更好地理解網(wǎng)絡行為的安全人員則占到了總數(shù)的37%。
某種程度上,安全人員就像醫(yī)生一樣,他們需要隨時了解這一領域研究的最新進展。目前,安全人員往往忙于應付和處理不斷響起的安全警報,因此讓他們分配多少時間接受繼續(xù)教育,成為企業(yè)需要權衡的問題。
好消息是,網(wǎng)絡襲擊的頻繁發(fā)生已經(jīng)讓各大公司的董事會意識到網(wǎng)絡安全的重要性。和支付寶、攜程宕機類似的網(wǎng)絡安全事件,勢必會讓其他企業(yè)的高管對這一領域給予更多的關注。
“網(wǎng)絡安全問題已經(jīng)從機房走向了董事會,這是件好事,企業(yè)最終會選擇向網(wǎng)絡安全及防護領域投入更多地關注和預算。”Kris Young說。