根据Verizon公司最新发布的2013年数据泄露调查报告(简称DBIR),要网络攻击者实施侵袭到受害者发现问题所间隔的时间已经由最初的几小时或几天演变为如今的几个月甚至数年。这对于企业而言意味着什么?
在Verizon的报告中可以发现,过去一年有66%的数据泄露事故经过了数月甚至更长才为受害者察觉。也就是说大多数攻击者都有能力悄无声息地将数据带出业务环境,且在被发现前花费数周时间对目标企业的IT系统开展侦察。
尽管入侵防御机制至关重要,但这份报告同时指出企业也必须接受残酷的现实——世界上不存在坚不可摧的壁垒。检测与响应同样是防御体系中不可或缺的组成部分。
根据Veriozn的意见,企业不能再把检测与响应作为像备份计划那样出了问题才想到使用的手段;相反,它们应该成为企业安全规划中的核心环节。
举例来说,记录与监控在检测可能导致泄露事故的活动、防止或者缓解泄露危害方面至关重要,移动及云安全企业Neohapsis公司高级安全顾问PatrickHarbauer表示。
攻击者在试探企业网络并实施侵扰方面拥有几乎无限的资源与时间。
“惟一的希望在于加大对安全人员培训及自动化工具部署的投入,这样企业才能监控自身系统中的恶意活动,”他解释道。
反思旧有安全模式
企业还需要与其它安全机构及专业人士开展合作,以共享方式获取更多知识与情报,Harbauer告诉我们。
随着业务计算活动量不断向云环境过渡,我们必须为之搭配新型安全规范,虚拟化安全企业HyTrust公司总裁兼创始人EricChiu指出。
“我们需要将安全规范从以往效率低下甚至缺乏成效的‘由外而内’视角转换为如今‘由内而外’视角,这样才能同时应对来自内部与外部的先进威胁,”Chiu建议道。
Chiu认为,未来的监控工作将以基于角色的系统为出发点。“基于角色的监控(简称RBM)是最快、最强大也最具安全威胁识别能力的方案,其准确率高达98%,”他告诉我们。
这类新方案在云环境中作用尤为明显,因为云环境下的“超级管理员”对于一切信息都拥有“超级权限”,只有新机制才能严格控制他们对每一套虚拟机的复制及修改活动,Chiu表示。
“是时候对安全工作进行反思了,既需要与新兴技术保持一致、也会给我们的业务流程带来改变,”他解释道。
7成数据泄露事件由外部发现
为了强调未来变革的必要性,Verizon调查报告还提到约70%的数据泄露事件是由外部各方发现之后才反过来通知受害者。
报告指出,尽管这一比例相较前一年的92%有所改善,但事实证明各机构的内部检测机制仍然相当匮乏。
报告声称,数据泄露受害者往往需要从互联网服务供应商(简称ISP)、信息安全咨询委员会(简称ISAC)以及专门追踪安全威胁的情报机构那里得知自身遭遇攻击。
可疑活动的检测通常涉及与已知威胁活动相关IP地址及域名的交互通信。
调查报告同时指出,由于这种新机制同时能够检测国有附属机构中存在的违规行为,因此汇总结果中的间谍活动也占据了相当的比例。
报告称第三方欺诈识别是经济类攻击活动中的主要应对方案,尤其是在小型零售企业、餐饮服务行业等人力与技术资源较为匮乏的领域中肩负着防范并侦测攻击的重任。
目前最大的问题在于,第三方检测机制只能在欺诈行为已经开始、攻击者尝试使用偷来的支付卡数据之后方能奏效。
用户响应是最有效的内部侦测手段
根据数据泄露报告的意见,用户响应是数据泄露最有效的内部侦测手段。
“通常情况下,普通员工会在自己的日常工作中发现一些奇怪的现象或者征兆——例如系统性能降低或者出现可疑的电子邮件——他们应该立即向IT部门或管理层发出警示,”报告指出。
根据Verizon公司的意见,坚持对正确数据源进行收集与维护能帮助企业获得及时发现违规征兆所必需的信息储备,并成为推动深入调查的坚实基础。
企业应当明确托管安全系统所需要的记录级别、需要记录哪些网络数据并制定合理的数据保留周期。
该报告称,由于大多数数据泄露事件都无法在几周或者几个月内得到曝光,因此数据保留周期也是安全保障中的重要因素。
尽管受害者自己的数据源是调查工作中的重要组成部分,但也不能因此忽视了外部各方提供的数据中所蕴含的宝贵价值。
报告显示,监控系统、数据记录、外部数据源、信息共享以及用户安全意识等关键因素共同构成了企业安全的严密保障,在此基础之上我们才有机会降低攻击者实施恶意活动的成功机率。
