解决数据安全问题:企业需有针对性地进行防御

日期:2017-3-2作者:赵长林

【TechTarget中国原创】

数据已经成为安全业界的困扰。专家们和厂商们告诉企业,它们需要威胁情报、日志及其可以收集的任何踪迹。事实上,处理所有的原数据已经成为一个重要的“大数据”问题。不幸的是,海量的数据记录往往使复杂的攻击变得难以捉摸,并且使我们对检测入侵的能力感到信心不足。

攻击者们还访问企业使用的所有相同的监视工具,并且可以针对这些监视工具测试它们自己的工具和技术,以确保其不被检测到。最老练的攻击者往往利用以前未曾看到过的工具和漏洞。在识别和确认这类攻击时,监视系统面临着很大的压力。从历史上看,攻击者们都能够在被发现(往往是由一个第三方发现的)之前在受害者的网络中呆停留长达几个月的时间。

部分问题在于,企业的计算环境非常复杂且繁忙,因而很多敌对活动可以隐藏在噪音中。聪明的攻击者可以通过同合法用户一样的方式来使用窃取的凭据连接数据库,并且使用的与合法用户相同的计算机。

我们不能简单地依赖监视来检测一般的开放性计算环境中的复杂攻击。由于这些攻击者可以长时间无法被检测到,所以他们能够在其危害被发现之前对系统造成巨大破坏。还有一个使问题更恶化的事实,就是Web浏览器等应用程序过于庞大和复杂,因而发现漏洞难度较大。由此带来的结果是,为了勉强对付黑客攻击,每年都要针对这些应用程序发布成千上万的重大安全补丁。

对付这种情况的一种办法是,创建一种使检测可以更好地运行的环境,而且如果不能检测到攻击也不会自动地引起大面积的危害。据统计,黑客们利用仅仅是有限的少量应用程序漏洞,但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序,攻击者的日子就要难过得多。

这些关键应用程序应当运行在内部经强化的和最小化的虚拟环境中。这会带来大量好处:

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

企业安全风险管理>更多

相关推荐

技术手册>更多

  • 内部威胁管理

    由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部威胁管理,那么现在就应该看看了。

  • 构建安全无线架构

    在本专题中,通过无线网络的转移、如何分割WlAN信息流、VPN的作用、接入点的布置等内容,你可以学到如何构建安全的无线架构,理解Wi-Fi产品的功能,以及如何把传统的有线网络设备和配置应用到无线局域网中。

  • 配置IPS 主动保护网络安全

    入侵防御系统(Intrusion Prevention System,IPS)是这段时间网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。本指南将帮助你深入了解IPS,并介绍专家对IPS未来的预测。

  • PCI DSS法规指南

    PCI DSS的所有要求的说明都相当明确,不像萨班斯法案(SOX)的规定。SOX没有提供如何保护信息资产的任何详细指导,而且可以由企业和法规审计单位自由做出不同的解释。然而,企业仍然觉得遵守PCI DSS很难。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

数据已经成为安全业界的困扰。专家们和厂商们告诉企业,它们需要威胁情报、日志及其可以收集的任何踪迹。事实上,处理所有的原数据已经成为一个重要的“大数据”问题。不幸的是,海量的数据记录往往使复杂的攻击变得难以捉摸,并且使我们对检测入侵的能力感到信心不足。

攻击者们还访问企业使用的所有相同的监视工具,并且可以针对这些监视工具测试它们自己的工具和技术,以确保其不被检测到。最老练的攻击者往往利用以前未曾看到过的工具和漏洞。在识别和确认这类攻击时,监视系统面临着很大的压力。从历史上看,攻击者们都能够在被发现(往往是由一个第三方发现的)之前在受害者的网络中呆停留长达几个月的时间。

部分问题在于,企业的计算环境非常复杂且繁忙,因而很多敌对活动可以隐藏在噪音中。聪明的攻击者可以通过同合法用户一样的方式来使用窃取的凭据连接数据库,并且使用的与合法用户相同的计算机。

我们不能简单地依赖监视来检测一般的开放性计算环境中的复杂攻击。由于这些攻击者可以长时间无法被检测到,所以他们能够在其危害被发现之前对系统造成巨大破坏。还有一个使问题更恶化的事实,就是Web浏览器等应用程序过于庞大和复杂,因而发现漏洞难度较大。由此带来的结果是,为了勉强对付黑客攻击,每年都要针对这些应用程序发布成千上万的重大安全补丁。

对付这种情况的一种办法是,创建一种使检测可以更好地运行的环境,而且如果不能检测到攻击也不会自动地引起大面积的危害。据统计,黑客们利用仅仅是有限的少量应用程序漏洞,但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序,攻击者的日子就要难过得多。

这些关键应用程序应当运行在内部经强化的和最小化的虚拟环境中。这会带来大量好处:

首先,简化的环境使得监视和对异常的检测更为简单。由于应用程序数量少并且交互也有限,所以背景噪音的水平也会极大降低。在个人计算机中,几乎任何活动都有发生的可能性,但是对于一个经强化的和最小化的虚拟机来说,只可能发生特定的问题。任何异常的发生都有可能标志着损害的产生。

其次,虚拟机可以从容地从主机环境中脱离。攻击者可能损害应用程序,但这并不能使其可以访问整个计算机、文件、网络等。对于能够击败甚至是最高级监视的攻击者来说,这种方法提供了关键防护。

第三,这有可能清除攻击者的恶意软件和立足点,甚至在攻击者能够逃避监视和检测时,也能够做到对其绞杀。整个虚拟机可以根据需要进行清除和重新生成,因为虚拟机并没有包含文档或其它需要保存的其它数据。通过将虚拟机重置到一个已知的良好状态,攻击者就会被赶出系统,即使防御者并不知道是否有攻击者的存在。

关注攻击面并设计系统可以极大地增加企业监视工作的有效性,从而更快速地检测并阻止入侵。而全面关注每个安全问题相当于没有关注任何问题。通过重新改变战场,使其符合企业利益,并且在部署和利用检测工具性时讲究策略,企业就可以在与攻击者的较量中占据优势。