現(xiàn)在,是時(shí)候摒棄傳統(tǒng)的黑名單模式了,這種模式只是定義應(yīng)該被限制的內(nèi)容,但它默許其他一切行為。面對(duì)不斷增加的惡意軟件,通過(guò)清單、規(guī)則以及合規(guī)管理安全的傳統(tǒng)方法已經(jīng)不足夠。下面讓我們看看最新威脅報(bào)告發(fā)現(xiàn)的事實(shí):
·2013年共有約181萬(wàn)網(wǎng)站重定向事件用于感染端點(diǎn)(出自2014年Websense威脅報(bào)告)
·已知惡意軟件(包括勒索軟件和rootkit)同比增長(zhǎng)約15%,合共約1.96億獨(dú)特的樣本(2013年第四季度McAfee威脅報(bào)告)
·應(yīng)用程序漏洞比操作系統(tǒng)及瀏覽器漏洞的總和還高175%(微軟安全情報(bào)報(bào)告)
隨著移動(dòng)技術(shù)的快速普及,傳統(tǒng)個(gè)人計(jì)算設(shè)備占終端設(shè)備的比率比過(guò)去更小。
在Gartner的《企業(yè)端點(diǎn)保護(hù):消費(fèi)者為王》報(bào)告中指出:盡管傳統(tǒng)個(gè)人計(jì)算設(shè)備(例如筆記本電腦和臺(tái)式機(jī))只占端點(diǎn)設(shè)備的一小部分,但它們?nèi)匀皇亲钊菀资艿焦羟易铍y以保護(hù)的設(shè)備。此外,由于我們繼續(xù)使用傳統(tǒng)的基于簽名或黑名單技術(shù),這些設(shè)備仍然是網(wǎng)絡(luò)攻擊的主要目標(biāo)。
貓捉老鼠的游戲
在較高的水平,幾乎所有網(wǎng)絡(luò)攻擊的四個(gè)主要目標(biāo)是:瞄準(zhǔn)漏洞、放置有效載荷、保持不被發(fā)現(xiàn)和獲取數(shù)據(jù)。但現(xiàn)在,攻擊者已經(jīng)非常了解我們黑名單技術(shù)的優(yōu)缺點(diǎn),甚至還知道它們?nèi)绾翁幚聿煌墓裟J剑覀儾辉倏赡芘c攻擊者玩“貓捉老鼠”的優(yōu)勢(shì)。有了這些知識(shí),攻擊者能夠:
·部署具有有限分布的有針對(duì)性的攻擊
·迅速循環(huán)攻擊以找出黑名單技術(shù)中可以利用的盲點(diǎn)
·制造噪音來(lái)轉(zhuǎn)移安全團(tuán)隊(duì)的注意力,并提高攻擊被忽視的可能性
黑名單的無(wú)效顯著提高了攻擊者的成功率,我們作為安全專業(yè)人員必須重新評(píng)估是否應(yīng)該繼續(xù)采用這種黑名單模式。更重要的是,隨著我們的IT基礎(chǔ)設(shè)施進(jìn)一步擴(kuò)展到適應(yīng)移動(dòng)計(jì)算平臺(tái)、桌面虛擬化和云計(jì)算,我們必須努力部署基于動(dòng)態(tài)的“已知良好”保護(hù)的安全控制。
考慮所有我們部署到傳統(tǒng)的個(gè)人計(jì)算設(shè)備的安全控制:防病毒技術(shù)、入侵防御、數(shù)據(jù)丟失防護(hù)等。這些只是有助于端點(diǎn)保護(hù)的部分安全技術(shù),它們具有不同程度的有效性。然而,面對(duì)日益增加的威脅和不斷發(fā)展的技術(shù),為了保持可接受的風(fēng)險(xiǎn)水平,我們必須改變我們的觀點(diǎn),并部署基于風(fēng)險(xiǎn)的端點(diǎn)保護(hù)戰(zhàn)略。
我們有很多技術(shù)可以幫助減少傳統(tǒng)個(gè)人計(jì)算設(shè)備的攻擊面。從歷史上看,我們的行業(yè)一直采用著黑名單安全模式,這種模式只是定義應(yīng)該被限制的內(nèi)容,并默許其他一切,但由于檢測(cè)率不高,這種做法被證明不可行。
看到光明的一面
通過(guò)基于風(fēng)險(xiǎn)的方法,而不同通過(guò)特定技術(shù)管理威脅,我們可以管理攻擊面,減少更廣泛范圍的威脅。例如,在2010年,澳大利亞信號(hào)理事會(huì)采用以風(fēng)險(xiǎn)為基礎(chǔ)的方法來(lái)減少有針對(duì)性的網(wǎng)絡(luò)入侵,他們發(fā)現(xiàn)沒(méi)有單一的安全控制可以阻止惡意活動(dòng),但結(jié)合“積極安全”戰(zhàn)略,能夠更有效地減少入侵,提高了85%。
以風(fēng)險(xiǎn)為基礎(chǔ)或積極安全做法也能夠帶來(lái)明顯的業(yè)務(wù)優(yōu)勢(shì):
·替換無(wú)效或?qū)φw端點(diǎn)保護(hù)貢獻(xiàn)不大的安全控制(例如防病毒技術(shù))
·通過(guò)消除(黑名單)簽名數(shù)據(jù)庫(kù),提高整體端點(diǎn)性能,這種數(shù)據(jù)庫(kù)消耗大量網(wǎng)絡(luò)和系統(tǒng)資源
·不再需要跨遠(yuǎn)程位置部署(黑名單)簽名更新,減少了基礎(chǔ)設(shè)施的壓力
·減少被動(dòng)地維持安全技術(shù)所需的工作,提高運(yùn)營(yíng)效率
通過(guò)改變我們的端點(diǎn)保護(hù)戰(zhàn)略,遵循積極的安全模式,我們能夠結(jié)合有效的最低特權(quán)做法,或者默認(rèn)情況下完全拒絕的做法,從而提高安全性。在動(dòng)態(tài)攻擊環(huán)境中,這種方法是更有效的端點(diǎn)保護(hù)戰(zhàn)略。