为什么单靠网络外围安全行不通?

日期:2016-1-26作者:Paul Henry

网络安全   外围安全   防火墙   网关   

【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络防火墙>更多

相关推荐

  • 亚信安全一周年:布局人工智能,探索网络安全未来

    2016年12月16日,亚信安全在京举办“亚信安全1周年暨2017战略媒体沟通会”,会上回顾总结了亚信安全在2016年成立元年对核心竞争力塑造的融合之力,突破之道。

  • 混合“白+黑”名单方法是如何帮助企业加强安全的?

    企业不应该仅仅依靠黑名单或白名单,而应该同时部署这两者。理想的解决方案是混合白名单-黑名单方法,结合这两者的优势……

  • 信息安全风险管理要素

    保护信息是一个业务问题,解决方案并不只是部署技术(防火墙和防病毒网关等),然后不管不顾,并全权依赖保护。企业必须采取积极主动的方法来发现及保护其最重要的资产,包括信息、信息技术和关键业务流程……

  • 如何处理网络基础设施的带外管理?

    前不久,美国计算机紧急预备小组联手美国国土安全部向网络安全专业人员发布了国家网络安全感知系统建议,其中包含6个建议方法以缓解对网络基础设施设备的威胁,包括带外管理……

技术手册>更多

  • 笔记本电脑安全防护手册

    笔记本——多个身份——盗窃”这个话题好像已经重复了很多次了。不管是谁,饭店的清洁人员还是把笔记本放在车里的知名的审计员(他会在每年检查时想客户重复这些不注意的地方),笔记本和其他物理上不安全的电脑都在大量的丢失或者被窃。丢失笔记本已经不再只是不方便的事情了。最重要的是,这样会导致很多敏感信息处于风险之中。

  • 一个新的安全计划

    个人智能手机和其他计算设备正不断涌入企业,迫使关于安全的思考发生转变。现在就更新你的安全策略,在你还没有败倒在个人智能手机的猛攻前。

  • SSL技术详解手册

    SSL是一个基于标准的加密协议,广泛应用于互联网。本技术手册将介绍SSL协议的作用和使用,包括如何配置具有SSL保护的FTP服务器,企业如何生成可信SSL证书等内容。

  • 如何选择应用防火墙

    Web应用防火墙(Web application firewall)或应用层防火墙是一种旨在保护Web应用程序免受攻击和数据泄露危害的装置或软件。那些急于达到PCI安全标准的企业在选择Web应用防火墙(WAF)时往往无所适从。怎样才知道该选择什么产品?如何才能有效地部署和管理这些工具和软件?如何把它们与现有的基础架构有机组合起来?下面我们将列出在评估产品时帮助你遵从法规的需要着重考虑的几点。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……

根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。

现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。

2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:

• 62%企业花了几个月时间来发现数据泄露
• 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露
• 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作
• 托管安全服务提供商只发现不到1%的数据泄露

笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”

为什么网络外围安全会行不通?

为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?

首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。

入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。

在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。

预防是理想,检测是必须

攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机以寻找有价值的数据,那么,企业安全团队能否检测到呢?如果数据从环境内受感染的电脑转移到基于互联网的资产,安全团队能否检测?对于上面的问题,大多数企业的答案是否定的,因为大多数企业把所有的重点放在网关,而没有在网络内部署适当的工具来检测横向移动或数据渗出。然而,横向移动和数据渗出也许是杀伤链中最难以被检测的部分。新安全模式工具包括以下步骤和组件:


1. “可防御的安全架构”:FireEye公司首席安全战略家Richard Bejtlich在他的著作《网络安全监控之道》中介绍了可防御网络架构的概念。根据Bejtlich表示,这种架构必须进行监控、清查和控制,并应联合资产所有者和利益相关者为网络制定适当的政策和程序。此外,该架构应可减小攻击面、定期评估漏洞以及保持更新和修复。

2. 网络安全监控:这不只是入侵检测系统(IDS),它应该包括事件数据、会话数据、全部内容采集和统计数据。网络安全监控不只是提供IDS警报;它还包含必要的背景和元数据以做出有关入侵的独立决策。

3. 连续安全监控:安全和网络管理员应该保留日志数据12个月,每15到60分钟更换日志并每5分钟传输日志到日志管理基础设施。此外,他们应该每天6次自动分析日志。对更换的日志执行完整性检查,并加密这些日志。

4. 部署攻击指标(IOC):通过US CERT的工作以及Mandiant及其OpenIOC项目,收集和共享IOC的框架正迅速推出。企业安全团队应该利用这些框架。通过使用定义的框架,企业可有效实现快速和广泛传播真正的攻击数据。而安全产品现在已经开始利用这些数据来搜寻环境内的攻击活动。