为什么单靠网络外围安全行不通?

日期:2016-1-26作者:Paul Henry

网络安全   外围安全   防火墙   网关   

【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

网络防火墙>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机以寻找有价值的数据,那么,企业安全团队能否检测到呢?如果数据从环境内受感染的电脑转移到基于互联网的资产,安全团队能否检测?对于上面的问题,大多数企业的答案是否定的,因为大多数企业把所有的重点放在网关,而没有在网络内部署适当的工具来检测横向移动或数据渗出。然而,横向移动和数据渗出也许是杀伤链中最难以被检测的部分。新安全模式工具包括以下步骤和组件:


1. “可防御的安全架构”:FireEye公司首席安全战略家Richard Bejtlich在他的著作《网络安全监控之道》中介绍了可防御网络架构的概念。根据Bejtlich表示,这种架构必须进行监控、清查和控制,并应联合资产所有者和利益相关者为网络制定适当的政策和程序。此外,该架构应可减小攻击面、定期评估漏洞以及保持更新和修复。

2. 网络安全监控:这不只是入侵检测系统(IDS),它应该包括事件数据、会话数据、全部内容采集和统计数据。网络安全监控不只是提供IDS警报;它还包含必要的背景和元数据以做出有关入侵的独立决策。

3. 连续安全监控:安全和网络管理员应该保留日志数据12个月,每15到60分钟更换日志并每5分钟传输日志到日志管理基础设施。此外,他们应该每天6次自动分析日志。对更换的日志执行完整性检查,并加密这些日志。

4. 部署攻击指标(IOC):通过US CERT的工作以及Mandiant及其OpenIOC项目,收集和共享IOC的框架正迅速推出。企业安全团队应该利用这些框架。通过使用定义的框架,企业可有效实现快速和广泛传播真正的攻击数据。而安全产品现在已经开始利用这些数据来搜寻环境内的攻击活动。