每个ciso都应该了解的三个问题
- 分类:新闻
全球技术人员和网络安全专家之间的谈话通常离不开这几个关键话题——iot风险、检测潜在恶意数据传输的难度、业界对用户和设备行为可能造成的风险整体认知不足。
原因正是由于当今的网络基础架构复杂多变、无序发展,使得监测用户和设备行为之间细微、危险变化的任务更加复杂化了。而正逐渐向云计算发展的网络还可能会与全球的工控系统结合起来,从而覆盖更多的网络设备、移动终端设备,由此,高级网络攻击和内部威胁必定会隐蔽于错综的网络环境中,从而销声匿迹。
另外,随着iot设备,虚拟设备,以及智慧城市设施之间的融合,企业的cio及其带领的安全团队将面对一个基本难题:面对太多的盲点,他们没有能力去识别哪些是真正的威胁,哪些是合法的活动。
基于这一点,为了理解现阶段所面临的大规模挑战,ciso们就必须彻底理解下面三个问题。
1、你是否清楚网络上的每一台设备?
以我们的经验来看,就算是经验最为丰富的安全团队也常常低估了网络上的设备数量,有时数量偏差高达30%。另外,还有很多公司没有能力检测iot设备上和其他非常规it环境中的恶意行为
但这些对网络攻击者来说却毫无影响!他们一旦盯上易受攻击的iot设备,就会偷偷地潜入那些看似被关闭的网络(内网)。例如,曾经有一家建筑公司的智能绘画板受到攻击并被控制,攻击者迅速向外发送了这家公司的大量图表。
有时候,自动连接办公wi-fi的移动设备并没有改变系统默认的登录证书,但安全团队对此并不知情。外部攻击者可以由此轻易发现易受攻击的终端,并通过他们进行大规模ddos攻击。
iot漏洞逐渐有迹可循,但相应的尊龙凯时注册的解决方案却远非如此。大多数安全工具只能监测某些特定的设备、或者监测某种类型的威胁,所以,iot设备往往被利用当做进入网络(内网)或其他设备的跳板,再获得内部数据。
2、你是否清楚数据在内外部的流通途径?
据悉,2016年黑客入侵民主党全国委员会的事件中,犯罪分子盗取了80g的数据——每天窃取500m的数据流量。然而,类似于这种庞大的恶意数据流通行为很有可能“隐匿”于庞大的网络流量中。更高级的攻击者可能一次只窃取或者篡改更少的数据,通过伪装成正常的流量,一步步地渗透进政府网络中。
要想了解数据的合法行为和非法行为是非常复杂的,通常都要求有上下文场景。这就出现一些矛盾:你可能最想知道的是黑客何时盗取了与客户相关的数据库,但你不想每次上传平面设计或视频文件时,系统都会给你发来告警信息;你想知道员工是否无意间将产品设计文件发给了承包商,却又不想阻止供应链之间的正常交互行为。
这就给基于规则的安全方式带来了难题,虽然说规则总有例外,但例外情况太多,系统及规则就形容虚设了。安全小组需要避免误判,仔细调查可疑行为,企业也需要深入理解内外部正常的网络数据流量方式。
3、你是否认真监督用户的行为方式?
人们对外部的威胁越发重视,但往往会忽视内部威胁,其实后者带来的安全风险也很严重。尤其是受信任的内部员工的异常行为和危险行为,一般很难被发现。毕竟这些“威胁者”都能自由进出网络。
员工在异常时间使用手机登移动设备登录系统、收集文件、大量下载文件等行为虽然看似无关紧要(确实很多时候确实是业务所需),但当我们联系起所有行为,就会发现所有这些行为都在预示着威胁正在发生。
并非所有内部威胁都是有意为之并造成恶意后果的,但无意间的数据泄露和小小的违反公司策略的行为可能都会让公司遭到大规模的漏洞攻击。例如,美国某政府部门最近查出一个浏览了正常网址的员工,由于不小心点击了一个广告界面,就在不经意间下载了一个高风险的银行木马病毒。该恶意软件能够避开公司防火墙,自动窃取网上银行证书。由此可见,设备行为的变化即便再小,也会带来很严重的风险威胁。
现在的网络攻击行为正变得越来越复杂,而基于设备发起的攻击威胁行为将其复杂程度和速度提升到了另一个高度。如今已没有所谓的安全网络环境,更没有安全团队敢以100%的自信回应这3个问题。然而,这只是发起有关网络安全新话题的起点而已。在安全机制遭到攻击之前,我们急需预测攻击行为,那就选择直面网络上的盲点吧,以帮助我们制定出有效的可视化防御策略。
2017/10.12 指掌易科技/搜狐科技