近期一家年收入達(dá)到122億美元的國(guó)際保險(xiǎn)集團(tuán)巨頭遭受網(wǎng)絡(luò)安全攻擊,對(duì)其內(nèi)部系統(tǒng)遭受了不同程度的影響。對(duì)比之下,國(guó)內(nèi)中小金融機(jī)構(gòu)無(wú)論從人力財(cái)力投入,以及安全體系的完善程度,都無(wú)法和該保險(xiǎn)巨頭比肩,那么信息安全工作應(yīng)該從哪里入手呢?筆者認(rèn)為最重要的是建立全面有效的信息安全檢測(cè)手段。
網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻
近年來(lái)信息科技技術(shù)推動(dòng)社會(huì)不斷進(jìn)步的同時(shí),也給信息安全工作帶來(lái)了極大挑戰(zhàn),尤其是以APT(高級(jí)持續(xù)性威脅)攻擊為代表的新興威脅,絕大多數(shù)機(jī)構(gòu)無(wú)法做到杜絕一切安全隱患。因此,信息安全工作的本質(zhì)是提前發(fā)現(xiàn)安全隱患和處理,而絕非在出現(xiàn)信息安全事件后的補(bǔ)救和應(yīng)急。
在此基礎(chǔ),為避免公司正常運(yùn)作遭受網(wǎng)絡(luò)安全事件的影響,安全管理員只能依靠科技手段,在“威脅出現(xiàn)”至“事件發(fā)生”期間內(nèi)檢測(cè)出已經(jīng)形成的安全隱患,只有通過(guò)專(zhuān)業(yè)的檢測(cè)手段才能夠快速、準(zhǔn)確地尋找到隱患原因及處理方式,從而“對(duì)癥下藥,藥到病除”。
新興網(wǎng)絡(luò)環(huán)境下,面對(duì)層出不窮的網(wǎng)絡(luò)攻擊,也對(duì)網(wǎng)絡(luò)安全工作提出了新的要求。殺病毒、防火墻、入侵檢測(cè)這傳統(tǒng)的“老三樣”,已經(jīng)難以應(yīng)對(duì)人為攻擊,且容易被攻擊者利用。
構(gòu)建信息安全檢測(cè)手段
在復(fù)雜且困難的環(huán)境下,中小金融機(jī)構(gòu)須從資產(chǎn)漏洞、網(wǎng)絡(luò)流量、用戶行為、威脅情報(bào)、日志分析等維度建立信息安全檢測(cè)體系。
資產(chǎn)漏洞分析是一家公司信息安全體系建立的根本,因?yàn)榫W(wǎng)絡(luò)安全攻擊往往大都是利用信息資產(chǎn)存在的安全漏洞進(jìn)行危害。要降低攻擊可能性,最重要的安全防護(hù)手段就是在遭受攻擊之前主動(dòng)發(fā)現(xiàn)資產(chǎn)存在的脆弱性問(wèn)題,并進(jìn)行修補(bǔ),防患于未然。根據(jù)漏洞掃描結(jié)果,通過(guò)正式工作通知的方式將每一個(gè)漏洞的管理落實(shí)到具體人員,并要求限期處理。待資產(chǎn)責(zé)任人反饋漏洞修復(fù)之后,系統(tǒng)將再次對(duì)風(fēng)險(xiǎn)資產(chǎn)進(jìn)行掃描確保漏洞得到修復(fù)。
網(wǎng)絡(luò)流量分析是信息安全檢測(cè)必不可少的一環(huán)。網(wǎng)絡(luò)流量分析解決方案融合了傳統(tǒng)基于規(guī)則的檢測(cè)技術(shù),以及機(jī)器學(xué)習(xí)和其他高級(jí)分析技術(shù),通過(guò)監(jiān)控網(wǎng)絡(luò)流量、連接和對(duì)象,找出惡意的行為跡象,尤其是失陷后的痕跡。
用戶行為分析可以發(fā)現(xiàn)用戶或信息資產(chǎn)可能存在的異常行為,因?yàn)榇蟛糠值木W(wǎng)絡(luò)攻擊雖然來(lái)自公司外部,但最嚴(yán)重的損害往往是由公司內(nèi)部人員所造成的。“管理好內(nèi)部威脅才能保衛(wèi)網(wǎng)絡(luò)安全”已經(jīng)逐漸成為一種共識(shí)。通過(guò)用戶行為分析的應(yīng)用,對(duì)用戶或信息資產(chǎn)進(jìn)行綜合評(píng)分,識(shí)別內(nèi)鬼行為和已入侵的潛伏威脅,從而達(dá)到提前預(yù)警的目的。
如果用戶行為分析帶有猜測(cè)的成分,那么威脅情報(bào)的存在就是通過(guò)證據(jù)對(duì)安全行為進(jìn)行“判決”。通過(guò)威脅情報(bào)的分析,可及時(shí)獲悉資產(chǎn)已經(jīng)或即將面臨的安全威脅并準(zhǔn)確預(yù)警,結(jié)合最新的威脅動(dòng)態(tài),最終實(shí)施積極主動(dòng)的威脅防御和快速響應(yīng)策略,準(zhǔn)確地進(jìn)行威脅追蹤和攻擊溯源。
僅通過(guò)資產(chǎn)、流量、行為和情報(bào)的分析檢測(cè)公司信息安全實(shí)時(shí)狀態(tài)是不全面的,還應(yīng)結(jié)合安全日志的統(tǒng)一收集和分析進(jìn)行全面檢測(cè)。針對(duì)各種層出不窮的數(shù)據(jù)源類(lèi)型,使用交互式日志語(yǔ)義解析思路,確保多廠家、多層次數(shù)據(jù)免插件、自動(dòng)柔性接入,大幅降低后期各類(lèi)數(shù)據(jù)接入的技術(shù)及人力成本。
擁有全面有效的檢測(cè)手段后,為便于公司和管理員高效、便捷地獲取整體情況,可建立信息安全一體化全局展示。通過(guò)資產(chǎn)、流量、行為等多維度的有效數(shù)據(jù)采集,實(shí)時(shí)監(jiān)控全網(wǎng)的安全態(tài)勢(shì)、內(nèi)部橫向威脅態(tài)勢(shì)、業(yè)務(wù)外連風(fēng)險(xiǎn)和服務(wù)器風(fēng)險(xiǎn)漏洞等,讓安全管理員可以高效感知全網(wǎng)網(wǎng)絡(luò)安全狀態(tài),從而形成一套基于“事前檢查、事中分析、事后檢測(cè)”的網(wǎng)絡(luò)安全檢測(cè)閉環(huán)。
文章轉(zhuǎn)載自cnBeta.COM