为什么单靠网络外围安全行不通?

日期:2016-1-26作者:Paul Henry

网络安全   外围安全   防火墙   网关   

【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络防火墙>更多

相关推荐

技术手册>更多

  • 身份认证管理

    当身份窃取猖獗的时候,有力地用户认证、客户认证和合作伙伴认证是至关重要的措施。有了用户名和密码就足够了吗?双因素认证是有效的方法吗?还是无力应对新出现的威胁呢?本专题将提供全面的信息,帮助理解目前的认证方式和面临的挑战,并且介绍如何采用安全的认证系统。

  • 创建网络访问隔离控制

    NAQC(Network Access Quarantine Control,网络访问隔离控制)可以阻止从远程地址不受阻碍、自由地访问网络,直到目标计算机已经证明远程计算机的配置可以满足脚本中列出的特定要求和标准。

  • 笔记本电脑安全防护手册

    笔记本——多个身份——盗窃”这个话题好像已经重复了很多次了。不管是谁,饭店的清洁人员还是把笔记本放在车里的知名的审计员(他会在每年检查时想客户重复这些不注意的地方),笔记本和其他物理上不安全的电脑都在大量的丢失或者被窃。丢失笔记本已经不再只是不方便的事情了。最重要的是,这样会导致很多敏感信息处于风险之中。

  • 下一代防火墙分析指南

    目前防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重,传统防火墙越来越力不从心,下一代防火墙顺势而来。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机以寻找有价值的数据,那么,企业安全团队能否检测到呢?如果数据从环境内受感染的电脑转移到基于互联网的资产,安全团队能否检测?对于上面的问题,大多数企业的答案是否定的,因为大多数企业把所有的重点放在网关,而没有在网络内部署适当的工具来检测横向移动或数据渗出。然而,横向移动和数据渗出也许是杀伤链中最难以被检测的部分。新安全模式工具包括以下步骤和组件:


1. “可防御的安全架构”:FireEye公司首席安全战略家Richard Bejtlich在他的著作《网络安全监控之道》中介绍了可防御网络架构的概念。根据Bejtlich表示,这种架构必须进行监控、清查和控制,并应联合资产所有者和利益相关者为网络制定适当的政策和程序。此外,该架构应可减小攻击面、定期评估漏洞以及保持更新和修复。

2. 网络安全监控:这不只是入侵检测系统(IDS),它应该包括事件数据、会话数据、全部内容采集和统计数据。网络安全监控不只是提供IDS警报;它还包含必要的背景和元数据以做出有关入侵的独立决策。

3. 连续安全监控:安全和网络管理员应该保留日志数据12个月,每15到60分钟更换日志并每5分钟传输日志到日志管理基础设施。此外,他们应该每天6次自动分析日志。对更换的日志执行完整性检查,并加密这些日志。

4. 部署攻击指标(IOC):通过US CERT的工作以及Mandiant及其OpenIOC项目,收集和共享IOC的框架正迅速推出。企业安全团队应该利用这些框架。通过使用定义的框架,企业可有效实现快速和广泛传播真正的攻击数据。而安全产品现在已经开始利用这些数据来搜寻环境内的攻击活动。