近20年來，大多數(shù)企業(yè)對網(wǎng)絡(luò)安全采取了古老的“吊橋和護(hù)城河”的方法，即把所有企業(yè)流量匯集到網(wǎng)關(guān)，同時(shí)通過防火墻阻止所有不良流量。現(xiàn)在這種方法怎么會(huì)可行……

根據(jù)SafeNet公司2015年數(shù)據(jù)安全信心指數(shù)(DSCI)報(bào)告顯示，在IT社區(qū)內(nèi)，企業(yè)對網(wǎng)絡(luò)外圍安全有效性的感知和現(xiàn)實(shí)之間的差距在不斷擴(kuò)大。該報(bào)告指出，87%的IT決策者認(rèn)為其網(wǎng)絡(luò)外圍安全系統(tǒng)可以有效阻止未經(jīng)授權(quán)用戶。然而，與此同時(shí)，單在2014年，超過1500起數(shù)據(jù)泄露事故共導(dǎo)致10億數(shù)據(jù)記錄遭泄露，這比2013年的數(shù)據(jù)泄露增加了49%，被盜或丟失的數(shù)據(jù)記錄增加了78%。這些數(shù)據(jù)很瘋狂：企業(yè)在反復(fù)做同樣的事情，卻期待不同的結(jié)果。

現(xiàn)在，虛擬化、公共云和BYOD等最新趨勢進(jìn)一步惡化了這個(gè)問題，因?yàn)檫@些趨勢顯著擴(kuò)大了網(wǎng)絡(luò)外圍。隨著U盤、Wi-Fi和VPN連接的普及，我們面臨的威脅越來越大，這也不難理解為什么單靠外圍防御會(huì)失敗。

2015年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告提供了新的見解。在60%的情況中，攻擊者可以在數(shù)分鐘之內(nèi)入侵企業(yè)，而發(fā)現(xiàn)數(shù)據(jù)泄露所花費(fèi)的時(shí)間卻在增加。此外，99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面讓我們看看過去的Verizon數(shù)據(jù)泄露報(bào)告中對外圍防御及其失敗原因的見解：

• 62%企業(yè)花了幾個(gè)月時(shí)間來發(fā)現(xiàn)數(shù)據(jù)泄露

• 與網(wǎng)絡(luò)入侵檢測系統(tǒng)、基于主機(jī)入侵檢測系統(tǒng)和日志審查相比，最終用戶可更有效地檢測到數(shù)據(jù)泄露

• 對于安全意識(shí)培訓(xùn)不要太樂觀，最終用戶只負(fù)責(zé)4%的檢測工作

• 托管安全服務(wù)提供商只發(fā)現(xiàn)不到1%的數(shù)據(jù)泄露

筆者最喜歡2013年Verizon數(shù)據(jù)泄露報(bào)告中寫道的話：“我們必須接受這個(gè)事實(shí)，即沒有任何障礙是堅(jiān)不可摧的，檢測/響應(yīng)是極其重要的防御線。我們不能再將這作為備用計(jì)劃，而應(yīng)該使之成為計(jì)劃的核心部分。”

為什么網(wǎng)絡(luò)外圍安全會(huì)行不通?

為了阻止攻擊者，企業(yè)必須修復(fù)所有漏洞，因?yàn)楣粽咧灰业揭粋€(gè)易受攻擊的機(jī)器、應(yīng)用或用戶即可開始攻擊。這也難怪企業(yè)會(huì)不斷遭遇數(shù)據(jù)泄露，導(dǎo)致數(shù)百萬甚至數(shù)十億美元的損失。即使是大型企業(yè)也會(huì)遭遇數(shù)據(jù)泄露事故，盡管他們擁有很多的安全預(yù)算、很多員工、一流的產(chǎn)品和高端服務(wù)提供商。那么，企業(yè)和安全專業(yè)人員應(yīng)該如何抵御當(dāng)今資金雄厚的意志堅(jiān)定的攻擊者呢?

首先企業(yè)必須接受這個(gè)事實(shí)，攻擊是不可避免的，無論網(wǎng)絡(luò)外圍安全多么好。其次，該行業(yè)需要重新定義在與攻擊者的戰(zhàn)斗中什么是“勝利”。傳統(tǒng)來看，企業(yè)安全認(rèn)為阻止攻擊就是勝利。但攻擊企業(yè)網(wǎng)絡(luò)只是殺傷鏈的一步;攻擊者還會(huì)在企業(yè)內(nèi)橫向移動(dòng)，發(fā)現(xiàn)有價(jià)值的信息，然后滲出這些信息。

入侵網(wǎng)絡(luò)并不是攻擊者的重點(diǎn)，竊取數(shù)據(jù)才是重點(diǎn)。企業(yè)不應(yīng)該專注于發(fā)現(xiàn)攻擊者以及阻止攻擊者，而應(yīng)該檢測攻擊者活動(dòng)目標(biāo)并迅速做出反應(yīng)。基于這些目標(biāo)來部署安全是贏得這場戰(zhàn)爭的唯一途徑。

在過去，防止攻擊者入侵就等于勝利，而現(xiàn)在阻止攻擊者取得成功才是勝利。

預(yù)防是理想，檢測是必須

攻擊者在使用U盤或魚叉式網(wǎng)絡(luò)釣魚電子郵件攻擊企業(yè)環(huán)境內(nèi)的臺(tái)式機(jī)后，攻擊者會(huì)開始橫向移動(dòng)到其他臺(tái)式機(jī)以尋找有價(jià)值的數(shù)據(jù)，那么，企業(yè)安全團(tuán)隊(duì)能否檢測到呢?如果數(shù)據(jù)從環(huán)境內(nèi)受感染的電腦轉(zhuǎn)移到基于互聯(lián)網(wǎng)的資產(chǎn)，安全團(tuán)隊(duì)能否檢測?對于上面的問題，大多數(shù)企業(yè)的答案是否定的，因?yàn)榇蠖鄶?shù)企業(yè)把所有的重點(diǎn)放在網(wǎng)關(guān)，而沒有在網(wǎng)絡(luò)內(nèi)部署適當(dāng)?shù)墓ぞ邅頇z測橫向移動(dòng)或數(shù)據(jù)滲出。然而，橫向移動(dòng)和數(shù)據(jù)滲出也許是殺傷鏈中最難以被檢測的部分。新安全模式工具包括以下步驟和組件：

1. “可防御的安全架構(gòu)”：FireEye公司首席安全戰(zhàn)略家Richard Bejtlich在他的著作《網(wǎng)絡(luò)安全監(jiān)控之道》中介紹了可防御網(wǎng)絡(luò)架構(gòu)的概念。根據(jù)Bejtlich表示，這種架構(gòu)必須進(jìn)行監(jiān)控、清查和控制，并應(yīng)聯(lián)合資產(chǎn)所有者和利益相關(guān)者為網(wǎng)絡(luò)制定適當(dāng)?shù)恼吆统绦颉４送猓摷軜?gòu)應(yīng)可減小攻擊面、定期評估漏洞以及保持更新和修復(fù)。

2. 網(wǎng)絡(luò)安全監(jiān)控：這不只是入侵檢測系統(tǒng)(IDS)，它應(yīng)該包括事件數(shù)據(jù)、會(huì)話數(shù)據(jù)、全部內(nèi)容采集和統(tǒng)計(jì)數(shù)據(jù)。網(wǎng)絡(luò)安全監(jiān)控不只是提供IDS警報(bào);它還包含必要的背景和元數(shù)據(jù)以做出有關(guān)入侵的獨(dú)立決策。

3. 連續(xù)安全監(jiān)控：安全和網(wǎng)絡(luò)管理員應(yīng)該保留日志數(shù)據(jù)12個(gè)月，每15到60分鐘更換日志并每5分鐘傳輸日志到日志管理基礎(chǔ)設(shè)施。此外，他們應(yīng)該每天6次自動(dòng)分析日志。對更換的日志執(zhí)行完整性檢查，并加密這些日志。

4. 部署攻擊指標(biāo)(IOC)：通過US CERT的工作以及Mandiant及其OpenIOC項(xiàng)目，收集和共享IOC的框架正迅速推出。企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該利用這些框架。通過使用定義的框架，企業(yè)可有效實(shí)現(xiàn)快速和廣泛傳播真正的攻擊數(shù)據(jù)。而安全產(chǎn)品現(xiàn)在已經(jīng)開始利用這些數(shù)據(jù)來搜尋環(huán)境內(nèi)的攻擊活動(dòng)。