首页
社区
课程
招聘
网络安全追问:我们会是下一个受害者吗
发表于: 2015-3-4 16:16 2327

网络安全追问:我们会是下一个受害者吗

2015-3-4 16:16
2327
标题:网络安全追问:我们会是下一个受害者吗
时间:2015-03-03 09:30:00
涞源:中关村在线
链接:http://safe.zol.com.cn/509/5092589.html

只要稍微看看新闻就会知道,在过去三到五年,恶意软件、数据泄露事故和其他信息安全威胁已经成倍增长。仅在不到一个星期前才发生了又一起引人注目的价值数百万美元的攻击事件。Target、易趣网、家得宝、摩根大通、索尼,甚至美国邮政服务都遭受了攻击。

  虽然网络攻击很少瞄准网络设备,但在这些攻击中,易受攻击的网络经常被攻击者利用来传输恶意流量或窃取的数据。IT专业人员必须对付来自伊朗、朝鲜和俄罗斯等国的政府资助的攻击,还有与犯罪组织有关联的以营利为目的的攻击者,以及随心所欲入侵网络的攻击者。这种局面正促使网络和安全团队更紧密地合作,让他们可以更肯定地回答一个看似基本的问题:网络安全吗?

  知名烘豆生产商Bush Brothers and Company公司高级网络工程师Ron Grohman表示,面对所有最近的威胁和攻击,他不敢冒险。

  这也是为什么他没有仅仅依靠一种安全产品来保护企业网络的原因。Grohman结合使用思科ASA 5525-X防火墙与Sourcefire URL过滤器、FireEye的网络恶意软件保护系统(MPS)1310来寻找可疑恶意软件,并使用赛门铁克杀毒软件作为最后的备份。

  Grohman表示他使用思科和Sourcefire(被思科在2013年收购)的产品,作为防火墙和URL过滤器来管理网络流量。而FireEye产品则部署在网络中来进行异常检测,如果FireEye平台检测到可疑恶意软件,该软件会阻止恶意软件,并发送警报给Grohman,然后他会将该事件告知帮助台的人员,从而删除恶意软件。赛门铁克软件则负责捕获HTTPS流量,作为攻击实现目标之前的最后一道防线。

  “我采用双层和三层防御,”他表示,“没有哪个产品是完美的,我喜欢使用多个系统来检测异常,特别是对于保护网络。”

  在一家财富500强公司,可能有几十位网络和安全人员参与了各自领域的交叉培训,并共同在网络安全部门工作。但在私营中型企业Bush Brothers并不是这样。Grohman是基础设施八名成员中的一名,他是唯一具有安全证书的员工。为了增强他在网络领域的知识,他在去年秋天完成了ISC2的CISSP课程,并在获得了思科网络专业认证。Grohman几年前还在ITT Tech获得了信息安全学位。

  “所有的安全工作都落在了我肩上,”他表示,“人们会问我网络是否安全,我只能说,‘我认为是这样’。但其实我并不确定一切是否都是安全的,这让我很困扰,这也是为什么我们添加了这些额外层的原因。”

  这种不安在网络和安全管理人员间很常见。Frost&Sullivan公司信息和网络安全研究主管Frank Dickson表示,这种做法是可以理解的。

  “真的没有万能解决方案,”他表示,“不管供应商怎么说,恶意软件都将不可避免地进入网络。请记住,零日攻击利用的是未知的漏洞。抵御未知事物是一种挑战。”

  Dickson表示,现在安全环境已经发生了转变,我们不再能单纯地依靠传统的杀毒软件—它会在检测到数据泄露事故后对以前未被发现的恶意软件创建签名。现在,来自思科的SourceFire、FireEye和Palo Alto的WildFire及Traps工具采用了更积极的做法。

  Dickson解释道:“这个行业正在转变为使用更多基于行为的方法,例如在隔离的虚拟化环境测试可疑文件的行为,或利用大数据分析来监测网络流量,建立基准,并寻找异常行为。”

  保护vs.预防

  传统的智慧以及当今威胁的现实可能需要采取像Bush Brothers使用的做法。但电信、银行和能源公司IDT Corporation首席信息安全官Golan Ben-Oni并不这么认为。他表示,我们需要更加专注于阻止攻击者,而不是在攻击后作出响应。这个行业已经陷入了一种模式,认为他们遭受攻击只是时间问题,而不是他们是否会受到攻击。Ben-Oni表示,这是一种失败主义态度。他说道:“如果你说你们放弃了防御,你在本质上是说你们已经完全放弃。”

  IDT使用了Palo Alto的三种产品来保护其网络:WildFire网络检测软件;Traps用于端点保护,由Palo去年从以色列的Cyvera收购;以及Global Protect,它让IDT扩展WildFire和Traps的优势到移动设备以及离开办公室的电脑。

  下面让我们看看这些产品在IDT的使用情况:Traps总是在端点监测恶意软件,如果Traps检测到零日攻击或其他异常进入网络,它会通知WildFire,WildFire会进行分析。在WildFire确认是恶意软件后,它会阻止和纠正该恶意软件。这样在检测到恶意软件时WildFire增加了另一层保护,终端和网络(通过Palo Alto防火墙)都会受到保护。网络将不允许恶意流量通过,如果文件由其他方式导入(例如通过USB闪存驱动器或本地文件副本),Traps会阻止其执行。

  在过去,IT人员检测恶意软件,断开计算机和网络,并上传文件到反病毒实验室,他们需要24小时来写一个签名。但现在IT团队没有这么多时间。

  “传统上,所有这一切都是手动完成,而现在几乎在近实时发生,”Ben-Oni表示,通过避免对人力的需要,横向感染的风险大大降低。攻击者会使用自动化,因此,企业与攻击者公平竞争的唯一方法就是使用自动化。

  在美国印第安纳州、肯塔基和俄亥俄州拥有超过100家银行的First Financial Bank企业信息安全官Dan Polly表示,这是非常重要的一点。

  First Financial在端点和网络使用思科高级恶意软件保护(AMP),这让该公司可以快速分析恶意软件。如果AMP检测到恶意软件,它会推送可疑文件到门户网站--该网站会作为一个沙箱,在其中该软件会运行分析来检测这个威胁的内容。

  “需要记住的是,在这些工具可用之前,你需要安排人员来深入分析恶意软件,这个人需要同时具备编程和安全技能,”Polly解释道,“现在,我们可以自动化部分工作,这节省了时间,让我们可以更快地阻止威胁。”

  与IDT的Ben-Oni一样,Polly意识到了使用单个供应商提供的多种功能所带来的好处。除了AMP产品,该公司的安全工程团队还使用思科ASA和Sourcefire下一代防火墙,他说这不仅可以执行传统防火墙功能,还支持入侵检测和防护以及URL内容过滤。Polly也喜欢通过开发和收购,思科已经投资于Talos--该公司的安全情报和研究组。Talos组建了一支分析威胁的研究人员团队,他们的工作主要是试图提高思科的安全产品。

  “通过可扩展的平台,我们减少了解决新兴威胁所需的时间,”Polly表示,“毫无疑问,安全行业是分阶段的;过去有段时间,最佳产品是唯一的选择,但现在似乎转移到其他方式,即选择具有多种功能的单一来源。”

  多年来,信息安全和网络团队工作在不同的部门,在某些情况下,他们还会相互竞争。

  FireEye公司首席技术官Dave Merkel表示,当前的威胁环境已经改变了这种情况。“现在,安全必须整合到企业的架构中,”他补充说,安全和网络团队必须更密切的合作。

  思科公司安全业务部产品营销副总裁Scott Harrell表示同意,这两个领域的合作对打击更复杂的威胁是至关重要的。

  他说道:“虽然这两个团队仍然有着角色分工,但我认为这会发展到这样的阶段,即安全团队更多地参与网络架构开发工作,而网络人员将会处理1级安全要求,而2级和3级警报仍由经验丰富的安全专业人士处理。”

  IDT公司首席信息安全官Golan Ben-Oni表示,在其企业,IT内的所有团队都一起合作。他补充说:“在我们公司,每个人都会获得所有其他计算领域的交叉培训。”

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
网络安全做好好有难度
2015-3-16 14:59
0
游客
登录 | 注册 方可回帖
返回
//