Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

RSA分享:改变滞后的安全思想

从去年的安全事件中可以发现,恶意攻击的技术先进性体现还不是很明显,但恶意攻击的有效性却在提升。恶意攻击者也开始注重ROI了
发布时间:2015-05-22 10:16        来源:赛迪网        作者:

在今年的“首都网络安全日”展会现场,卡巴斯基技术开发(北京)有限公司大中华区技术总监陈羽兴先生接受了记者的采访,分享了其对今年RSA信息安全大会的感悟。

滞后的安全难于应对更加高效的恶意攻击

去年安全发生许多“大事件”,财富五百强排名第三十六位的某公司CEO由于网络安全事件而下台,这类事件尚属首次发生;美国最大银行其每年在网络安全上的预算达2.5亿美元,但在去年依然遭遇了骇客的入侵攻击;加之索尼接二连三的遭遇恶意攻击,这一系列事件使得人们开始反思,安全防线是否已经崩溃、沦陷?如今安全威胁正在发生很大变化,但安全防御却有些“跟不上”了。近几年各类安全初创公司的不断涌现,正是为了应对新型恶意攻击的威胁。由此可见,滞后的网络安全确实到了需要改变的时候。

从去年的安全事件中可以发现,恶意攻击的技术先进性体现还不是很明显,但恶意攻击的有效性却在提升。恶意攻击者也开始注重ROI了,恶意攻击者在力图用最少的成本、最便捷有效的方式实施入侵。例如,在卡巴斯基所发现的窃取了全球上百家银行近10亿美金的恶意攻击案例中,恶意攻击者并没有采取十分厉害的攻击技术,也没有利用过多的零日漏洞。在上面的案例里,恶意攻击者非常注重其“商业”效率、注重其投入产出比,更多强调有效性,社交工程使其所采取的主要攻击方式,通过攻击最难防范的人的弱点极大提高了有效性。可以说,“有效性”是当今恶意攻击的主要特征之一。

现在所需要最大的改变是安全思维上的改变

从前述案例中可以看到,无论其网络安全预算有多大、自身防御体系有多严密,依然会遭遇入侵攻击。美国联邦调查局现任局长曾经说过一句话,“美国的大企业可以分为两类,一类是已经知道自身被入侵的,还有一类是尚不知道自己已经被入侵的”。

所以,安全思维要转变的第一点就是,在建立安全防御体系时首先要假设这个网络体系已经被入侵。传统的安全防御体系包括防火墙、入侵检测、防病毒,主要作用是对恶意威胁进行阻止、拦截。而随着传统安全防御体系被恶意攻击逐渐打破,安全的改变需要对三个方面进行加强:威胁预测、入侵检测、应急响应。

近两年人们开始越来越多的提起“Intelligence driven(情报驱动)”,威胁预测需要从这个方面入手,这也是许多安全初创公司正在做的事情。要先了解恶意攻击是怎样进来的,进而实施针对性的防御,这样的安全防护才是最有效的。

所有企业都不可避免会被入侵,在假设自己已经被入侵的前提下,能够及早的检测到入侵才是有效的安全防御。在恶意攻击者刚刚入侵时便能够检测发现,就可以避免损失,当恶意攻击者窃取了机密数据正在准备向外传输时将其检测发现,则可以降低损失。沙箱、大数据等技术无不是为了提高检测能力,从而能够及早发现恶意入侵攻击。

许多企业都认为自己有应急响应能力,但这些能力大多仅仅停留在文档之上,应急响应需要更多的演练,这样才能在真正发生安全大事件时形成有效的安全响应。

威胁预测、传统防御、入侵检测、应急响应,这四方面的安全能力如果能够得以同步提高,形成良性循环体系,则可以帮助用户有效的提高其安全防御能力。

另外一点在于人员,美国的许多企业已经开始招聘CSO,也就是首席安全官,而国内在这方面还有所落后。安全需要专门的高层管理人员,同时还需要对人员进行更多安全培训,“产品解决+安全专家”的思路才能为用户提供更好的安全防御体系。

首先由威胁预测探明恶意威胁进攻情况,由传统防御体系实施层层阻截,入侵检测及时“揪出”已经渗透进来的敌人,最后加上有效的安全响应,如此就可以搭建起与传统网络安全防御体系完全不同的“适应性网络安全防御体系”。

安全新边界——终端

如今,终端安全正在重新引起人们的关注。云计算、移动化等打破了企业传统的安全边界,早期处于内网的PC能够受到网关、入侵检测等安全产品的防护,而今各类智能移动终端的出现,使得终端在成为新的安全防护边界。

终端里复杂的情况,使得终端安全问题一直很难予以彻底解决。现在,智能手机里操作系统类型及版本繁多,应用环境繁杂,而随着物联网的快速发展,将有更多硬件形态的智能终端出现,安全问题也将更为突出。

安全防御首先要做到减少攻击面,这同样适用于当前的终端安全防护。“云是一个很好的方式”,云计算使得更多数据存储在云端,终端上存储、运行的数据将得以极大减少,这样终端所可能遭遇的攻击面也必将大大降低。而计算的必要性,使得终端或多或少还会存储一些数据,那么就要先做好终端的基础安全防护,如安装杀毒软件等。另外,还需要通过加密等技术进一步保护这些数据。

网络延伸下的安全问题

网络无所不在,连上网络的东西也在越来越多。曾有安全研究人员声称可以利用飞机上的Wi-Fi服务控制飞机,这意味着,随着网络的不断延伸、随着越来越对物品(智能汽车、智能家电等)接入网络,由于其在开发阶段都没有优先考虑安全问题,加之一些用户行为,所将产生的安全问题会越来越多。

而对于安全企业来说,将安全能力融入这些产品中是一个长期的工程。在此之前,许多安全初创企业正在进行接入网络物体身份识别的研究工作。同时,由于智能终端体积有限,如何在更少消耗能源、资源的情况下实施安全防御也是今后的研究重点。在不安全的协议上如何进行安全的数据传输更是需要解决的安全问题。

卡巴斯基在“首都网络安全日”

卡巴斯基也参加了今年的“首都网络安全日”展示活动,陈羽兴认为今年的安全技术大赛是一个显著的亮点,这十分有利于安全技术人员之间的交流。陈羽兴表示,面向普通民众的安全演示是更加有效的安全宣传方法,今后可以加大这方面的内容。

今年,卡巴斯基展示了其最新云安全解决方案,除了国际主流的虚拟化平台外,今年卡巴斯基的相关安全解决方案还将支持国内主流的虚拟化平台。

除了安全解决方案之外,安全专家服务的配合能够进一步提高企业网络的安全防御能力。卡巴斯基就此推出了应急响应和威胁培训服务,卡巴斯基顶级安全团队将分享其安全经验,帮助用户共同提升其应急响应与入侵检测能力。

专题访谈

合作站点
stat