为什么单靠网络外围安全行不通?

日期:2016-1-26作者:Paul Henry

网络安全   外围安全   防火墙   网关   

【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络防火墙>更多

相关推荐

技术手册>更多

  • 统一威胁管理实用手册

    为了应对更加纷繁复杂的攻击,供应商开发出一些集成系统,将所有不同的防御技术集成到一个产品中,统一威胁管理(UTM)系统应运而生。统一威胁管理系统囊括多种功能,且价格相对较低,以其高性价比而颇受青睐。

  • 下一代网络攻击应对技术

    攻击者几乎都是以特定的企业为目标,并且通过Web来进行攻击的。随着越来越多的企业将操作和性能转移到网络上,基于Web的应用程序成为潜在的威胁向量(threat vector)。如今,黑客主要利用Web漏洞,来窃取您最重要的数据。为了保护您的数据,您该采取哪些技术呢?本技术手册将为您介绍基于内存攻击、僵尸网络攻击、中间人SSL攻击和网络战的应对技巧。

  • SQL注入攻击

    SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中,攻击者操纵网站基于Web的界面,迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。

  • 信息安全人员从业指南

    随着黑客的攻击越来越广泛,企业信息安全问题也越来越突出。随着这种趋势不断增加,信息安全职务将变得越来越有价值,行业竞争也日趋激烈。职业管理、职业发展和职业规划在决定未来发展道路上正变得越来越重要。本技术手册将为您介绍信息安全职业、信息安全人员职业规划、信息安全行业薪酬问题,以及信息安全人员的职业生涯抉择。我相信这不仅仅是针对信息安全人员的从业指南,IT界的工作者都可以借鉴。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机以寻找有价值的数据,那么,企业安全团队能否检测到呢?如果数据从环境内受感染的电脑转移到基于互联网的资产,安全团队能否检测?对于上面的问题,大多数企业的答案是否定的,因为大多数企业把所有的重点放在网关,而没有在网络内部署适当的工具来检测横向移动或数据渗出。然而,横向移动和数据渗出也许是杀伤链中最难以被检测的部分。新安全模式工具包括以下步骤和组件:


1. “可防御的安全架构”:FireEye公司首席安全战略家Richard Bejtlich在他的著作《网络安全监控之道》中介绍了可防御网络架构的概念。根据Bejtlich表示,这种架构必须进行监控、清查和控制,并应联合资产所有者和利益相关者为网络制定适当的政策和程序。此外,该架构应可减小攻击面、定期评估漏洞以及保持更新和修复。

2. 网络安全监控:这不只是入侵检测系统(IDS),它应该包括事件数据、会话数据、全部内容采集和统计数据。网络安全监控不只是提供IDS警报;它还包含必要的背景和元数据以做出有关入侵的独立决策。

3. 连续安全监控:安全和网络管理员应该保留日志数据12个月,每15到60分钟更换日志并每5分钟传输日志到日志管理基础设施。此外,他们应该每天6次自动分析日志。对更换的日志执行完整性检查,并加密这些日志。

4. 部署攻击指标(IOC):通过US CERT的工作以及Mandiant及其OpenIOC项目,收集和共享IOC的框架正迅速推出。企业安全团队应该利用这些框架。通过使用定义的框架,企业可有效实现快速和广泛传播真正的攻击数据。而安全产品现在已经开始利用这些数据来搜寻环境内的攻击活动。