對(duì)于安全從業(yè)者而言,相信大家都不陌生“一分預(yù)防勝過十分治療”這句話。話雖然這樣說,但在我們已經(jīng)貫徹實(shí)施了二十年的打補(bǔ)丁、防火墻等預(yù)防工作理念,其結(jié)果又怎樣呢?
安全產(chǎn)品成為黑客攻擊面
就在剛剛過去的這一個(gè)月中,賽門鐵克發(fā)布了好幾個(gè)補(bǔ)丁,都是為了修補(bǔ)其終端保護(hù)產(chǎn)品(SEP)的漏洞。這些漏洞可以被用來提升權(quán)限,執(zhí)行任意代碼。也就是說,世界頭號(hào)防病毒平臺(tái)可以被黑客利用來發(fā)動(dòng)攻擊,攻擊那些安裝了SEP的設(shè)備。
無獨(dú)有偶,去年8月賽門鐵克就曾經(jīng)修補(bǔ)過一系列的高危漏洞,包括認(rèn)證繞過、權(quán)限提升,甚至還有為數(shù)不少的SQL注入。雖然人們有理由指責(zé)賽門鐵克,畢竟一個(gè)重要的安全廠商連自己的安全都沒有解決,又怎么能夠做好對(duì)別人的保護(hù)。但同時(shí),身為安全領(lǐng)域的專業(yè)人士,我們也知道,抵御黑客攻擊的安全產(chǎn)品反而被黑客利用來進(jìn)行攻擊,并不是非常罕見的事情。
卡巴斯基、Avast、趨勢科技、AVG、英特爾安全、ESET、趨勢科技、飛塔、思科等眾多耳熟能詳?shù)臍⒍拒浖?、防火墻產(chǎn)品,都曾曝出過可被黑客利用來發(fā)動(dòng)攻擊的漏洞。進(jìn)一步思考的話,還有多少?zèng)]曝出的漏洞呢?而且,如果賽門鐵克,這個(gè)全球最大的獨(dú)立安全廠商都無法開發(fā)出沒有漏洞的產(chǎn)品,那些非安全領(lǐng)域的企業(yè)又能好到哪里去呢?
漏洞,換個(gè)一角度來描述,就是錯(cuò)誤。上面說了這么多,其反應(yīng)出來的實(shí)質(zhì)問題就是:
軟件是人開發(fā)的,而人是避免不了錯(cuò)誤的。
談?wù)勛赃m應(yīng)
近年來,安全從業(yè)者面臨的一個(gè)嚴(yán)重現(xiàn)實(shí)就是攻擊面增長的太快、太復(fù)雜,大量的新應(yīng)用上線部署,意味著新漏洞的出現(xiàn)和新的被攻擊的機(jī)會(huì),因此針對(duì)性的防護(hù)封堵越來越難以匹配,反應(yīng)到現(xiàn)實(shí)當(dāng)中,就是發(fā)生的安全事件越來越多,影響程度也越來越嚴(yán)重。因此我們應(yīng)該反思,我們是否過于強(qiáng)調(diào)了修補(bǔ)和預(yù)防?是否能夠有一種更加綜合有效的方法來做好安全工作?
一些領(lǐng)先的安全機(jī)構(gòu)或企業(yè)開始強(qiáng)調(diào)檢測、感知,基于威脅情報(bào)去主動(dòng)地阻止并破壞網(wǎng)絡(luò)犯罪分子的整個(gè)攻擊生態(tài),Gartner將這種理念稱之為“自適應(yīng)安全架構(gòu)”。它有以下幾個(gè)關(guān)鍵點(diǎn):
首先,我們需要對(duì)企業(yè)資產(chǎn),包括企業(yè)內(nèi)外的IT設(shè)備,有一個(gè)持續(xù)的“可見”。忘記應(yīng)急響應(yīng)吧,持續(xù)響應(yīng)才是王道。我們不僅要對(duì)企業(yè)的現(xiàn)在了如指掌,還能在需要的時(shí)候?qū)ζ髽I(yè)的過去進(jìn)行回溯。因此,實(shí)時(shí)的檢測監(jiān)控,以及對(duì)相應(yīng)信息的存儲(chǔ)是成就這種能力的關(guān)鍵。
第二,增加對(duì)數(shù)據(jù)分析的投入。補(bǔ)丁、防火墻等預(yù)防工作是被動(dòng)的是名單驅(qū)動(dòng)的,而發(fā)現(xiàn)未知威脅需要前置的問題通知。數(shù)據(jù)分析技術(shù)近年來已經(jīng)發(fā)展的很好,可以在識(shí)別惡意活動(dòng)方面發(fā)揮巨大的作用。
第三,一體化和自動(dòng)化。安全人員的缺乏和業(yè)務(wù)的復(fù)雜,提出了自動(dòng)化和一體化的現(xiàn)實(shí)需求。我們應(yīng)該整合各方面的安全工作,并精心選擇安全工具,力圖用更少的時(shí)間做更多的事情。
最后,我們要利用這些檢測、分析、可見等能力去了解攻擊者,了解他們的方法和動(dòng)機(jī),以更好的預(yù)測他們下一步可能會(huì)采取的行動(dòng)。換句話說就是,使用從之前攻擊行為中獲得的情報(bào),來判斷和預(yù)防下一次的攻擊。
專注于打補(bǔ)丁、防火墻等傳統(tǒng)防護(hù)手段的安全戰(zhàn)略是一件費(fèi)力不討好的事,是愚人做的事。而包括檢測、預(yù)判和持續(xù)的可見及響應(yīng)能力,才是安全防護(hù)工作的方向和未來。