近期一家年收入達(dá)到122億美元的國際保險集團(tuán)巨頭遭受網(wǎng)絡(luò)安全攻擊,對其內(nèi)部系統(tǒng)遭受了不同程度的影響。對比之下,國內(nèi)中小金融機(jī)構(gòu)無論從人力財力投入,以及安全體系的完善程度,都無法和該保險巨頭比肩,那么信息安全工作應(yīng)該從哪里入手呢?筆者認(rèn)為最重要的是建立全面有效的信息安全檢測手段。
網(wǎng)絡(luò)安全形勢嚴(yán)峻
近年來信息科技技術(shù)推動社會不斷進(jìn)步的同時,也給信息安全工作帶來了極大挑戰(zhàn),尤其是以APT(高級持續(xù)性威脅)攻擊為代表的新興威脅,絕大多數(shù)機(jī)構(gòu)無法做到杜絕一切安全隱患。因此,信息安全工作的本質(zhì)是提前發(fā)現(xiàn)安全隱患和處理,而絕非在出現(xiàn)信息安全事件后的補(bǔ)救和應(yīng)急。
在此基礎(chǔ),為避免公司正常運(yùn)作遭受網(wǎng)絡(luò)安全事件的影響,安全管理員只能依靠科技手段,在“威脅出現(xiàn)”至“事件發(fā)生”期間內(nèi)檢測出已經(jīng)形成的安全隱患,只有通過專業(yè)的檢測手段才能夠快速、準(zhǔn)確地尋找到隱患原因及處理方式,從而“對癥下藥,藥到病除”。
新興網(wǎng)絡(luò)環(huán)境下,面對層出不窮的網(wǎng)絡(luò)攻擊,也對網(wǎng)絡(luò)安全工作提出了新的要求。殺病毒、防火墻、入侵檢測這傳統(tǒng)的“老三樣”,已經(jīng)難以應(yīng)對人為攻擊,且容易被攻擊者利用。
構(gòu)建信息安全檢測手段
在復(fù)雜且困難的環(huán)境下,中小金融機(jī)構(gòu)須從資產(chǎn)漏洞、網(wǎng)絡(luò)流量、用戶行為、威脅情報、日志分析等維度建立信息安全檢測體系。
資產(chǎn)漏洞分析是一家公司信息安全體系建立的根本,因為網(wǎng)絡(luò)安全攻擊往往大都是利用信息資產(chǎn)存在的安全漏洞進(jìn)行危害。要降低攻擊可能性,最重要的安全防護(hù)手段就是在遭受攻擊之前主動發(fā)現(xiàn)資產(chǎn)存在的脆弱性問題,并進(jìn)行修補(bǔ),防患于未然。根據(jù)漏洞掃描結(jié)果,通過正式工作通知的方式將每一個漏洞的管理落實到具體人員,并要求限期處理。待資產(chǎn)責(zé)任人反饋漏洞修復(fù)之后,系統(tǒng)將再次對風(fēng)險資產(chǎn)進(jìn)行掃描確保漏洞得到修復(fù)。
網(wǎng)絡(luò)流量分析是信息安全檢測必不可少的一環(huán)。網(wǎng)絡(luò)流量分析解決方案融合了傳統(tǒng)基于規(guī)則的檢測技術(shù),以及機(jī)器學(xué)習(xí)和其他高級分析技術(shù),通過監(jiān)控網(wǎng)絡(luò)流量、連接和對象,找出惡意的行為跡象,尤其是失陷后的痕跡。
用戶行為分析可以發(fā)現(xiàn)用戶或信息資產(chǎn)可能存在的異常行為,因為大部分的網(wǎng)絡(luò)攻擊雖然來自公司外部,但最嚴(yán)重的損害往往是由公司內(nèi)部人員所造成的。“管理好內(nèi)部威脅才能保衛(wèi)網(wǎng)絡(luò)安全”已經(jīng)逐漸成為一種共識。通過用戶行為分析的應(yīng)用,對用戶或信息資產(chǎn)進(jìn)行綜合評分,識別內(nèi)鬼行為和已入侵的潛伏威脅,從而達(dá)到提前預(yù)警的目的。
如果用戶行為分析帶有猜測的成分,那么威脅情報的存在就是通過證據(jù)對安全行為進(jìn)行“判決”。通過威脅情報的分析,可及時獲悉資產(chǎn)已經(jīng)或即將面臨的安全威脅并準(zhǔn)確預(yù)警,結(jié)合最新的威脅動態(tài),最終實施積極主動的威脅防御和快速響應(yīng)策略,準(zhǔn)確地進(jìn)行威脅追蹤和攻擊溯源。
僅通過資產(chǎn)、流量、行為和情報的分析檢測公司信息安全實時狀態(tài)是不全面的,還應(yīng)結(jié)合安全日志的統(tǒng)一收集和分析進(jìn)行全面檢測。針對各種層出不窮的數(shù)據(jù)源類型,使用交互式日志語義解析思路,確保多廠家、多層次數(shù)據(jù)免插件、自動柔性接入,大幅降低后期各類數(shù)據(jù)接入的技術(shù)及人力成本。
擁有全面有效的檢測手段后,為便于公司和管理員高效、便捷地獲取整體情況,可建立信息安全一體化全局展示。通過資產(chǎn)、流量、行為等多維度的有效數(shù)據(jù)采集,實時監(jiān)控全網(wǎng)的安全態(tài)勢、內(nèi)部橫向威脅態(tài)勢、業(yè)務(wù)外連風(fēng)險和服務(wù)器風(fēng)險漏洞等,讓安全管理員可以高效感知全網(wǎng)網(wǎng)絡(luò)安全狀態(tài),從而形成一套基于“事前檢查、事中分析、事后檢測”的網(wǎng)絡(luò)安全檢測閉環(huán)。
文章轉(zhuǎn)載自cnBeta.COM