把这三个问题回答好才能算一个合格的CISO
作者: 日期:2017年09月04日 阅:8,546

IoT带来的风险,检测潜在恶意数据传输的困难,以及对用户和设备活动可见性的整体缺乏,这些问题,很大程度上是今天复杂庞大的网络基础设施所造成的结果。

臃肿的网络基础设施,令监视用户和设备行为中微小恶意转变的工作,变得十分复杂。今天的网络延伸到了云端,有可能接入到工业控制系统中,还可能托管着大量的设备,而且往往遍布全球。高级网络攻击和内部人威胁注定隐身在繁杂噪音中。

再加上IoT设备、虚拟机和智慧城市,简直不可能保持领先不断发展的威胁态势一步。因此,CISO及其安全团队面临一个根本性问题。他们有太多盲点,且缺乏区分威胁和合法活动的能力。

为理解该问题的严重程度,安全团队应该回答好以下3个问题:

1. 能为网络上的每个设备负责吗?

根据经验,即便老练的安全团队,也总是低估了网络中设备的数量,有时候甚至达到30%之多。而很多公司,缺乏在IoT设备和其他非常规IT上,检测异常活动的能力。这一事实并没有被网络攻击者所忽视。通过入侵脆弱IoT设备,他们可以秘密进入本应封闭的网络。

比如说,某建筑公司开始使用智能画板快速共享图表的时候,就遭遇更为麻烦的问题。在他们的安全团队毫无察觉的情况下,这些设备连默认登录凭证都没改,就连入了办公室WiFi。一名外部攻击者发现了这些脆弱智能画板,并将它们拖入了大规模DDoS攻击资源中。

IoT漏洞正开始被记录在案,但解决方案却没那么简单产出。大多数安全工具只能监视特定设备和特定类型的威胁。因此,IoT设备往往不引人注意,被用作进入网络或车辆盗取数据的踏脚石。

2. 知道数据在内部和外部的去向吗?

2016年的DNC黑客事件中,作案者据传渗漏了80GB的数据——约500MB每天。然而,即便这么反常的大量数据传输,也容易在繁忙网络中为人所忽视。更高级的攻击者会每次偷取/篡改少得多的数据,慢慢在网络中嵌入自身,伪装成正常流量。

了解哪些数据流向是合法的,哪些是非法的,是件复杂的任务,需要上下文的辅助。你显然想要知道罪犯有没有在盗取你的客户数据库,但你肯定不想平面设计师每次上传视频文件的时候都会触发警报。你绝对想要知道雇员有没有将产品设计文件意外发给了承包商,但你不会想要阻碍你的供应链所依赖的互联互通。

这就让我们直面基于规则的方法所带来的根本问题了。每条规则都有例外,而例外的集合会搞崩系统。安全团队也需要避免误报,只去调查真正可疑的活动。对正常网络数据流的深度理解,无论是公司内部的,还是外部的,都是必需的。

3. 能有效监管用户的行为方式吗?

外部威胁易于获得最大的关注,但内部人威胁带来的安全风险同样巨大。尤其当该威胁来自受信员工时,非正常行为和威胁行为便往往难以发现。毕竟,这些威胁主体都有进入公司大楼的凭证,和进入网络的口令。

非常规时段的员工登录、被聚合的多组文件、不正常的下载量等等,单独来看,这些活动本身似乎都微不足道,大多数情况下也确实没什么大不了的。然而,关联组合起来,就可构成令人信服的新兴威胁视图。

内部员工威胁也并非全都是恶意的。意外数据泄露和公司策略的小泄密,可陷公司于巨大麻烦之中。比如说,美国某地方政府最近检测到一名雇员访问了一家合法网站,点击了一个广告,然后不可避免地下载了一个恶性银行木马。该恶意软件被特意设计成能够绕过公司防火墙,并自动盗取网银凭证。这些设备行为中的改变都是非常微小的,但往往暗藏着巨大的威胁。

今天的威胁态势越来越复杂,而基于机器的攻击的兴起,还会将此复杂性和攻击速度提升到另一个层次。现在已经没有安全网络这种东西了,没有任何一个安全团队有100%的自信回答这3个问题。然而,这些,是开始网络安全新对话的起点。直面我们的网络盲点,可帮助我们将安全策略导引至自动化和可见性,预测攻击者行动前所迫切需要的东西。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章