解决数据安全问题:企业需有针对性地进行防御

日期:2017-3-2作者:赵长林

【TechTarget中国原创】

数据已经成为安全业界的困扰。专家们和厂商们告诉企业,它们需要威胁情报、日志及其可以收集的任何踪迹。事实上,处理所有的原数据已经成为一个重要的“大数据”问题。不幸的是,海量的数据记录往往使复杂的攻击变得难以捉摸,并且使我们对检测入侵的能力感到信心不足。

攻击者们还访问企业使用的所有相同的监视工具,并且可以针对这些监视工具测试它们自己的工具和技术,以确保其不被检测到。最老练的攻击者往往利用以前未曾看到过的工具和漏洞。在识别和确认这类攻击时,监视系统面临着很大的压力。从历史上看,攻击者们都能够在被发现(往往是由一个第三方发现的)之前在受害者的网络中呆停留长达几个月的时间。

部分问题在于,企业的计算环境非常复杂且繁忙,因而很多敌对活动可以隐藏在噪音中。聪明的攻击者可以通过同合法用户一样的方式来使用窃取的凭据连接数据库,并且使用的与合法用户相同的计算机。

我们不能简单地依赖监视来检测一般的开放性计算环境中的复杂攻击。由于这些攻击者可以长时间无法被检测到,所以他们能够在其危害被发现之前对系统造成巨大破坏。还有一个使问题更恶化的事实,就是Web浏览器等应用程序过于庞大和复杂,因而发现漏洞难度较大。由此带来的结果是,为了勉强对付黑客攻击,每年都要针对这些应用程序发布成千上万的重大安全补丁。

对付这种情况的一种办法是,创建一种使检测可以更好地运行的环境,而且如果不能检测到攻击也不会自动地引起大面积的危害。据统计,黑客们利用仅仅是有限的少量应用程序漏洞,但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序,攻击者的日子就要难过得多。

这些关键应用程序应当运行在内部经强化的和最小化的虚拟环境中。这会带来大量好处:

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

企业安全风险管理>更多

  • 在云中添加安全管理控制层

    企业战略集团(Enterprise Strategy Group)分析师Jon Oltsik认为,许多网络安全专业人员在自己网络上安装管理服务器,以避免出现破坏性配置错误。

  • 802.11ax如何防御IoT安全漏洞?

    IEEE 802.11ax将更好地支持物联网(IoT)。那么,它是否会改善IoT安全性?IEEE 802.11ax是否可防御像最近的Netgear路由器漏洞这样的问题?

  • 主动防御:拥抱数字化转型的安全未来

    “主动防御”的安全新思路应用到越来越多的企业中。瑞数信息与IDC携手发布数字化转型安全白皮书,帮助用户在确保关键业务得到安全保护的同时,能够更加从容地利用数字化转型优势,驾驭数字的力量。

  • 云栖大会前夕:阿里云安全来了场神秘发布

    国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……

相关推荐

  • 如何确定应用程序的攻击面?

    应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……

  • 如何避免成为勒索软件的受害者?

    勒索软件的一个问题是,如果它足够复杂,任何律师或安全专家都不能阻止企业或个人遭受攻击,必须支付赎金才可以使用户访问文件……

  • 威胁检测和管理的演变(一)

    现在所有类型的网络罪犯都可以通过混入企业运作背景之中,很容易地绕过现有企业安全防御,这些攻击正在测试现有安全分析工具的局限性。

  • 应用程序安全管理的“八大”主张(二)

    任何环境中最大的风险之一是终端用户安装和运行所有他们想要的软件的能力。有很多工具可用来限制终端用户是否可以在桌面上运行程序。

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

数据已经成为安全业界的困扰。专家们和厂商们告诉企业,它们需要威胁情报、日志及其可以收集的任何踪迹。事实上,处理所有的原数据已经成为一个重要的“大数据”问题。不幸的是,海量的数据记录往往使复杂的攻击变得难以捉摸,并且使我们对检测入侵的能力感到信心不足。

攻击者们还访问企业使用的所有相同的监视工具,并且可以针对这些监视工具测试它们自己的工具和技术,以确保其不被检测到。最老练的攻击者往往利用以前未曾看到过的工具和漏洞。在识别和确认这类攻击时,监视系统面临着很大的压力。从历史上看,攻击者们都能够在被发现(往往是由一个第三方发现的)之前在受害者的网络中呆停留长达几个月的时间。

部分问题在于,企业的计算环境非常复杂且繁忙,因而很多敌对活动可以隐藏在噪音中。聪明的攻击者可以通过同合法用户一样的方式来使用窃取的凭据连接数据库,并且使用的与合法用户相同的计算机。

我们不能简单地依赖监视来检测一般的开放性计算环境中的复杂攻击。由于这些攻击者可以长时间无法被检测到,所以他们能够在其危害被发现之前对系统造成巨大破坏。还有一个使问题更恶化的事实,就是Web浏览器等应用程序过于庞大和复杂,因而发现漏洞难度较大。由此带来的结果是,为了勉强对付黑客攻击,每年都要针对这些应用程序发布成千上万的重大安全补丁。

对付这种情况的一种办法是,创建一种使检测可以更好地运行的环境,而且如果不能检测到攻击也不会自动地引起大面积的危害。据统计,黑客们利用仅仅是有限的少量应用程序漏洞,但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序,攻击者的日子就要难过得多。

这些关键应用程序应当运行在内部经强化的和最小化的虚拟环境中。这会带来大量好处:

首先,简化的环境使得监视和对异常的检测更为简单。由于应用程序数量少并且交互也有限,所以背景噪音的水平也会极大降低。在个人计算机中,几乎任何活动都有发生的可能性,但是对于一个经强化的和最小化的虚拟机来说,只可能发生特定的问题。任何异常的发生都有可能标志着损害的产生。

其次,虚拟机可以从容地从主机环境中脱离。攻击者可能损害应用程序,但这并不能使其可以访问整个计算机、文件、网络等。对于能够击败甚至是最高级监视的攻击者来说,这种方法提供了关键防护。

第三,这有可能清除攻击者的恶意软件和立足点,甚至在攻击者能够逃避监视和检测时,也能够做到对其绞杀。整个虚拟机可以根据需要进行清除和重新生成,因为虚拟机并没有包含文档或其它需要保存的其它数据。通过将虚拟机重置到一个已知的良好状态,攻击者就会被赶出系统,即使防御者并不知道是否有攻击者的存在。

关注攻击面并设计系统可以极大地增加企业监视工作的有效性,从而更快速地检测并阻止入侵。而全面关注每个安全问题相当于没有关注任何问题。通过重新改变战场,使其符合企业利益,并且在部署和利用检测工具性时讲究策略,企业就可以在与攻击者的较量中占据优势。