it安全如今已不再是保衛(不存在的)邊界,而是保護公司的受攻擊面。而雲、移動性、byod(自帶裝置)以及促進網路架構和操作發生根本性變化的企業計算發展進步等已經讓公司的受攻擊面發生了極大的變化。
這意味著我們更多的是需要監視防火牆內部發生的事件,而不是哪些外部的東西正企圖進來。基於「1000個光點」模型的**擊理念與「挖護城河和建城堡」的防禦模式形成了鮮明的對比。
理論上,這種發展正在加快安全公司成熟的速度,然而這種轉型未必能夠輕易地實現。不僅威脅情況發生了變化,領導層、技能、工具和所需預算也都在不斷地發生著變化。
因此,即便在高階商店中,基於邊界的防禦實踐仍然停滯不前。以錯誤想法或錯誤理念為基礎的實踐如果任其發展將會妨礙快速檢測和響應。下面讓我們看一下其中的一些典型錯誤:
對防滲透過於迷信。解決方案:調整至「已經有受到了威脅的」心態。apt(高階持續性威脅)變得比以往更加厲害,現在已經不再是你的網路是否被攻擊的問題,而是何時發生網路攻擊的問題。我們應當相應地提公升安全防護能力。與此同時,我們不應再將重點放在阻止滲透上,而是應當將重點放在對抗措施上,讓這些對抗措施進入到你的網路當中。好訊息是我們擁有乙個優勢,大多數損失都發生在被滲透後的數個月內。為了規避探測,更好的理解公司行為,製作出可安全抵達真正目標的路線圖,黑客都傾向於使用「低強度慢速度」技術,每天只執行少量操作。
接受簡單的解釋。解決方案:進一步深挖根源。安全事件不能歸因為錯誤或事故。所有的證據都應當被仔細分析,惡意意圖必須要被考慮在內。由於你的安全團隊並不知道所有的對抗措施,在某種意義上他們處於劣勢。對於你的團隊來說,關鍵是要認真調查他們所看到的一切,以揭示其它一些不為人知的或是未被檢測到的相關要素。安全團隊必須一直假設他們只看到了拼圖的一半,要努力找到拼圖的其它剩餘部分。
力求快速補救。解決方案:利用已知的情況。與盡可能地快速補救孤立的事件相反,安全團隊應當認真監視已知的情況,力爭搞清楚這些事件與環境中的其它要素之間的聯絡,力求發現未知的情況。例如,某個程式的ip位址與已發現的惡意程式的ip位址相同,那麼我們就可認定這個程式為乙個之前未掌握的惡意程式。此外,當我們發現黑客所使用的工具很容易被檢測到,我們必須要考慮到黑客可能是故意使用這種工具,以此來分散和浪費防禦者的精力。
將重點放在惡意軟體上。解決方案:將重點放在整個攻擊行為上。雖然檢測惡意軟體非常重要,但是將重點放在檢測單個端點上的孤立行為的解決方案將無法應對複雜的黑客攻擊。我們應當部署乙個整體性的防禦措施。利用自動化,尤其是分析和威脅情報,來查清楚整個惡意攻擊行動的來龍去脈,而不僅僅是侷限在**上。注意,你的對手是人,惡意軟體只是他們手中最強大的工具之一,在他們的工具箱裡還有許多這樣的工具。
花大量精力調查虛警。解決方案:讓調查實現自動化。由於許多安全解決方案都會產生大量零散的警報(許多是虛警),安全團隊可能會花上大量的時間人工調查和驗證解決方案所發現的警報。這一漫長的過程可能會嚴重影響安全團隊解決真正問題,即是否受到了網路攻擊。適當地使用自動化可以大幅提公升工作效率,縮短檢測與響應時間,降低在攻擊中所蒙受的損失。如果預算妨礙了在這一流程中實現自動化,那麼我們應當量化一下對自動化的投資價值,然後要求公司提供相應的資金。
與it的許多領域一樣,網路攻擊檢測即是一門藝術,也是一門科學。優秀分析師與普通分析師最大的不同之處是他的思維方式。避開這些錯誤思想不僅可讓安全團隊在進行檢測時更具戰略眼光,同時還可讓他們更好地利用手中的資源。
警惕針對Wifi的五大無線攻擊
本文講的是 警惕針對wifi的五大無線攻擊,隨著城市資訊化程序的加速,3g 4g和無線網路已經越來越普及,使用者可以在公司 商場 咖啡廳享受速度越來越快 使用越來越方便的wifi網路。然而,大家是否知道,使用這些wifi是否存在某些安全風險,而這些風險又會導致我們的資訊或者財產損失呢?由於wifi主...
網路身份五大要素
當註冊介面的時候,我們根據什麼原則設計使用者表呢?這裡需要用到網路身份的五大要素。身份驗證 它關係到你是否具有某項操作的許可權,就像是你身份證明上的 某張會員卡 家裡或房門的一串鑰匙。代表身份 它涉及到你的身份或你宣稱的身份,這和個人名片 個人資料一樣,因為它讓別人知道你的身份 職業等其他背景資料。...
訊號檢測與判決的五大準則
訊號檢測五大準則 以簡單的二元門限判決為例,門限值為a if h x a h x 為1 if h x a h x 為0 而為了確定這個門限值a,衍生出了一大堆準則.1.最大後驗概率準則 根據先驗概率來確定門限。一般根據相應場景下的歷史資料來確定先驗概率。2.bayes準則 除了先驗概率之外,還以最小...