是什么限制了網(wǎng)絡安全項目的有效性?

責任編輯:editor006

作者:nana

2016-12-11 21:28:52

摘自:安全牛

面對成百上千,乃至成千上萬的IT基礎設施漏洞,安全從業(yè)人員面前矗立著幾乎不可逾越的困難。既考慮安全態(tài)勢又考慮業(yè)務影響的整體的、基于風險的方法,可以減小攻擊界面,縮短漏洞被利用的駐留時間。

面對成百上千,乃至成千上萬的IT基礎設施漏洞,安全從業(yè)人員面前矗立著幾乎不可逾越的困難。其結果通常就是長長的駐留時間和異步迭代,阻礙網(wǎng)絡安全項目的有效性。這引出了一個問題:是什么讓我們面對網(wǎng)絡攻擊無能為力?更重要的是,有什么新的方法讓公司企業(yè)從傳統(tǒng)領域?qū)<夷J角袚Q到互動迭代的協(xié)作模式?

Gartner2016年1月的文章《設計自適應安全架構抵御高級攻擊》中寫道,企業(yè)通常實現(xiàn)的是反應式而非主動式網(wǎng)絡安全,這是不對的。他們通常依賴已被證明沒什么效果的封鎖技術。

今日網(wǎng)絡安全面臨的最大問題之一,是怎樣管理典型企業(yè)中各種IT安全工具產(chǎn)生數(shù)據(jù)的規(guī)模、速度和復雜性。從這些孤立的、不聯(lián)網(wǎng)的工具中收集來的反饋,必須進行標準化和分析,緩解工作也是優(yōu)先項目之一。工具越多,工作困難度越大。最終,這些數(shù)據(jù)匯總和分析需要大量的員工梳理海量數(shù)據(jù)以連點成面,大海撈針,找出正確的結論。該工作可能耗時數(shù)月,而此期間攻擊者有可能利用漏洞抽取數(shù)據(jù)。

即便公司能招募足夠資源來進行這些分析,他們對內(nèi)部安全情報的依賴也常常會導致緩解工作偏離正確方向——因為內(nèi)部情報常缺乏活躍威脅及其所利用特定漏洞的上下文。沒有將外部威脅數(shù)據(jù)和業(yè)務關鍵性考慮進去,安全團隊就會補錯漏洞。很多案例中都只響應了過去的威脅,而不是基于預測性分析采取主動方法來關閉攻擊者利用漏洞的窗口機會。

我們可以來看一下網(wǎng)絡安全項目有效性的限制因素。

一維視野

首先,很多公司,甚至安全廠商,都還是只關注網(wǎng)絡層,很少認識到攻擊界面的其他方面,比如:應用層。我們需要的,是威脅界面的整體視圖,將網(wǎng)絡敵人的策略和能力一一匹配上。威瑞森2016數(shù)據(jù)泄露報告證實了這一點。網(wǎng)絡層和終端只是威脅迷宮的一小塊拼圖。攻擊界面飛速增長,安全實踐也應隨之做出相應調(diào)整。

CVE焦點

其次,大多數(shù)漏洞管理工具依賴通用漏洞和暴露(CVE),可能導致資源和工作的錯位。2014年出現(xiàn)的“貴賓犬(POODLE)”漏洞就是個很好的例子。這個漏洞被公布時,在國家漏洞數(shù)據(jù)庫(NVD)中評分為5.5。對漏洞進行過濾分級,并只對CVE得分在7份及其以上的漏洞采取措施,是通常的安全實踐。采用這個模型,貴賓犬漏洞就會被忽略掉。只要早點發(fā)現(xiàn)它產(chǎn)生了成千上萬的攻擊,企業(yè)本可以調(diào)整修復優(yōu)先級以解決貴賓犬威脅的。該事件證明了將內(nèi)部安全情報融入外部威脅數(shù)據(jù)情景的重要性。

為改善擊敗網(wǎng)絡攻擊的成功率,企業(yè)可以實施以下3條最佳實踐:

1. 鑒于合格安全人才的短缺,應利用技術來自動化盡可能多的安全運營工作。

2. 按國家標準與技術局(NIST)宣傳的持續(xù)監(jiān)視和診斷指南,來增加安全態(tài)勢評估的頻率。

3. 最后,擴展防護措施以解決今日不斷擴大的攻擊界面。這包括在網(wǎng)絡層和終端之外,將應用、數(shù)據(jù)庫、云環(huán)境、物聯(lián)網(wǎng)等等都囊括進來。

鑒于安全漏洞的龐大數(shù)量,單獨管理威脅似乎不再可行。既考慮安全態(tài)勢又考慮業(yè)務影響的整體的、基于風險的方法,可以減小攻擊界面,縮短漏洞被利用的駐留時間。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號