解決數(shù)據(jù)安全問題:企業(yè)需有針對性地進行防御

責任編輯:editor004

作者:趙長林

2017-03-03 10:41:07

摘自:TechTarget中國

不幸的是,海量的數(shù)據(jù)記錄往往使復雜的攻擊變得難以捉摸,并且使我們對檢測入侵的能力感到信心不足。這有可能清除攻擊者的惡意軟件和立足點,甚至在攻擊者能夠逃避監(jiān)視和檢測時,也能夠做到對其絞殺。

數(shù)據(jù)已經(jīng)成為安全業(yè)界的困擾。專家們和廠商們告訴企業(yè),它們需要威脅情報、日志及其可以收集的任何蹤跡。事實上,處理所有的原數(shù)據(jù)已經(jīng)成為一個重要的“大數(shù)據(jù)”問題。不幸的是,海量的數(shù)據(jù)記錄往往使復雜的攻擊變得難以捉摸,并且使我們對檢測入侵的能力感到信心不足。

攻擊者們還訪問企業(yè)使用的所有相同的監(jiān)視工具,并且可以針對這些監(jiān)視工具測試它們自己的工具和技術(shù),以確保其不被檢測到。最老練的攻擊者往往利用以前未曾看到過的工具和漏洞。在識別和確認這類攻擊時,監(jiān)視系統(tǒng)面臨著很大的壓力。從歷史上看,攻擊者們都能夠在被發(fā)現(xiàn)(往往是由一個第三方發(fā)現(xiàn)的)之前在受害者的網(wǎng)絡(luò)中呆停留長達幾個月的時間。

部分問題在于,企業(yè)的計算環(huán)境非常復雜且繁忙,因而很多敵對活動可以隱藏在噪音中。聰明的攻擊者可以通過同合法用戶一樣的方式來使用竊取的憑據(jù)連接數(shù)據(jù)庫,并且使用的與合法用戶相同的計算機。

我們不能簡單地依賴監(jiān)視來檢測一般的開放性計算環(huán)境中的復雜攻擊。由于這些攻擊者可以長時間無法被檢測到,所以他們能夠在其危害被發(fā)現(xiàn)之前對系統(tǒng)造成巨大破壞。還有一個使問題更惡化的事實,就是Web瀏覽器等應(yīng)用程序過于龐大和復雜,因而發(fā)現(xiàn)漏洞難度較大。由此帶來的結(jié)果是,為了勉強對付黑客攻擊,每年都要針對這些應(yīng)用程序發(fā)布成千上萬的重大安全補丁。

對付這種情況的一種辦法是,創(chuàng)建一種使檢測可以更好地運行的環(huán)境,而且如果不能檢測到攻擊也不會自動地引起大面積的危害。據(jù)統(tǒng)計,黑客們利用僅僅是有限的少量應(yīng)用程序漏洞,但針對這些程序的攻擊卻占據(jù)了絕大多數(shù)。如果企業(yè)重視監(jiān)視和防御有限的這些易被攻擊的應(yīng)用程序,攻擊者的日子就要難過得多。

這些關(guān)鍵應(yīng)用程序應(yīng)當運行在內(nèi)部經(jīng)強化的和最小化的虛擬環(huán)境中。這會帶來大量好處:

首先,簡化的環(huán)境使得監(jiān)視和對異常的檢測更為簡單。由于應(yīng)用程序數(shù)量少并且交互也有限,所以背景噪音的水平也會極大降低。在個人計算機中,幾乎任何活動都有發(fā)生的可能性,但是對于一個經(jīng)強化的和最小化的虛擬機來說,只可能發(fā)生特定的問題。任何異常的發(fā)生都有可能標志著損害的產(chǎn)生。

其次,虛擬機可以從容地從主機環(huán)境中脫離。攻擊者可能損害應(yīng)用程序,但這并不能使其可以訪問整個計算機、文件、網(wǎng)絡(luò)等。對于能夠擊敗甚至是最高級監(jiān)視的攻擊者來說,這種方法提供了關(guān)鍵防護。

第三,這有可能清除攻擊者的惡意軟件和立足點,甚至在攻擊者能夠逃避監(jiān)視和檢測時,也能夠做到對其絞殺。整個虛擬機可以根據(jù)需要進行清除和重新生成,因為虛擬機并沒有包含文檔或其它需要保存的其它數(shù)據(jù)。通過將虛擬機重置到一個已知的良好狀態(tài),攻擊者就會被趕出系統(tǒng),即使防御者并不知道是否有攻擊者的存在。

關(guān)注攻擊面并設(shè)計系統(tǒng)可以極大地增加企業(yè)監(jiān)視工作的有效性,從而更快速地檢測并阻止入侵。而全面關(guān)注每個安全問題相當于沒有關(guān)注任何問題。通過重新改變戰(zhàn)場,使其符合企業(yè)利益,并且在部署和利用檢測工具性時講究策略,企業(yè)就可以在與攻擊者的較量中占據(jù)優(yōu)勢。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號