虽然持续强化防御机制非常重要,但面对猛烈的恶意攻势、我们同样需要增加自身承受能力。
即使是安全意识最强、防范态度最积极的企业,也已经意识到违规和内部安全事件不再是“会否发生”、而是“何时发生”的问题。目前,许多组织仍然没有把违规情况视为整体防守策略中的必须考虑的因素之一。相反,他们执着于利用强硬手段将一切想象得到的潜在威胁全部加以扼杀。不过我们必须承认,任何希望彻底弥合可资攻击者利用的漏洞或者将攻击面完全消除的尝试都是错误的、也是徒劳的。
想要强化防御效果?必须学会以攻击者的方式思考。攻击链显示攻击者经常会绕过网络与终端安全产品的更新层来执行自己的邪恶使命。目前我们正身处最危险的时代,因此必须做好经受安全事故及快速系统恢复的准备。
接下来的五大秘诀相信能帮助企业做好准备:
1. 采取以威胁为中心的安全方案。
攻击活动本身并不涉及个人倾向,攻击者必然要尝试利用现有保护体系中的每一处缺失以实现最终目的。换言之,安全攻击中并不存在可以“箭无虚发”的万能方案,因此我们需要对整个扩展网络环境加以保护——包括终端、移动及虚拟环境等。各环境之间必须进行信息交流,且交流过程在攻击前、中、后三个阶段始终保持进行状态。仅靠时间点检测与阻断还不够,我们需要进一步找寻全程监控且长效永固的安全机制,这样才能在攻击事件真正出现时将损失降至最低。
2. 尽可能提高安全机制的自动化程度。
手动流程无法抵御攻击的严酷侵袭,因为恶意攻击者往往利用自动化技术加快攻击进程并扩大覆盖面。我们需要减少劳动力密集型方案,并尽量简化安全执行流程。拥有安全事件智能识别及自动提醒能力的工具会帮助安全团队节约大量调查时间、避免为了一场虚惊而大动干戈。另外,只有这类能自动执行并调整安全策略与规则的机制才能紧跟安全威胁的变化趋势,从而在不断发展的IT环境中将发生最新威胁与安全漏洞的可能性降至最低。
3. 利用安全追溯机制。
现代威胁能够把自己伪装成安全无害的软件,并在悄无声息地混过安全防御机制之后才表现出恶意行为。我们需要相应技术对被认定为“安全”或“未知”的文件进行长期监控,并在文件恶意属性显现后立即启动安全追溯机制——包括快速识别、范围定位、进程跟踪、影响调查以及问题修复等内容。
4. 改进事件响应流程。
Verizon公司在2013数据泄露调查报告中指出,有22%的事故调查需要花费数月才能准确定位泄露情况。安全事件发生时,不少企业根本拿不出可做指导的事故应急预案。事实上,每个组织都应该设置应急事件响应团队(成员不妨以非全职身份加入),并接受与安全事件沟通与响应相关的针对性培训。该团队需要按照既定流程与安全政策的指导开展工作,例如根据信息安全政策的要求确保敏感数据得到保护。组织还应该制作事件响应运行手册,帮助团队在面临安全事件时能够按部就班执行预定处理方案,包括事件通知及分级汇报机制等,从而更快、更好、更准确地实施遏制与补救措施。最后,每个季度定期检查系统方案能够确保政策、配置与规则始终符合企业的实际安全要求。
5.帮助用户与IT安全人员了解最新威胁。
Verizon在报告中还指出,“以恶意软件、网络钓鱼与证书滥用为代表的攻击技术普遍以用户为目标,且已经成为当前主要安全威胁。”为用户企业培训能帮助他们了解这些恶意技术、理解限制用户行为的安全政策有何现实意义,并从长远角度以简单方式更有效地防止恶意攻击。企业还必须努力提升安全从业人士的职业技能,敦促他们不断学习、跟上威胁发展的脚步。如果将重点放在事件识别、分类方式、遏制办法以及影响消除等方面,安全团队将进一步了解攻击者掩饰安全威胁、窃取数据以及建立攻击滩头阵地的具体策略,从而做到防患于未然。
企业必须正视这一现实,即安全违规必然会发生。尽管继续加强防御机制非常重要,但面对层出不穷的恶意攻击,我们还需要努力强化自身的风险承受能力。要做好充分准备、我们需要出台一套综合性方案,其中包括具体技术、处理流程以及实施人员等因素。只有这样,组织才能在攻击活动出现时及时采取理想的应对措施。
原文地址:http://www.securityweek.com/preparing-attack-5-tips-organizations
