「小心預防」是 APT 攻擊的最佳自我保護方法
根據 2014 年 Ponemon 的調查顯示,大多數受訪企業表示有針對性攻擊是最大威脅,單從品牌價值來看,這就能為他們造成平均 940 萬美元的損失。而這些洩露事故的成本繼續增加,特別是隨著企業轉移資料到雲端運算和混合雲端基礎設施後。根據 Ponemon 的《2014 年資料洩露成本調查報告》顯示,企業資料洩露成本已經從 540 萬美元提高到 590 萬美元。
要針對 APT 威脅進行防護,我們除了需要靠不同的方案配合之外,還有甚麼是需要特別注意的呢?
1. 預防是根本
預防並沒有成功,因為主要的安全工具(防火牆和防毒軟件)大多依賴於反應及基於簽名檔的方法。安全專家在三年前意識到這方面的發展,並開發了新類型的預防技術。這些技術是基於行為引擎、深度檢測以及新的內嵌阻攔方法。當部署在企業時,這些技術非常有用。當結合新的安全智能檢測,它們會變得更加有效。
例如,最近一個主要的醫療服務供應商部署了基於行為方法來保護敏感的患者資料,儘管部署了防毒的解決方案和下一代防火牆等傳統工具,但該技術還是檢測到了超過 100 個高風險的感染。該公司通過部署這個方法可以緩解這些感染,並帶來最小的運營影響,現在還可以進行事件分析和解決方案的協調。
2.安全智能不可忽視
資料是安全的核心,也是網路罪犯的主要目標,Big data 的分析是解決下一代資訊安全問題的基礎。例如,一個大型石油企業在一天內發現 25 次試圖攻擊。阻止這些洩露事故是基於資料、異常行為、應用程式的不正常行為以及其他細微差別。好消息是,通過分析工作,企業可以通過篩選 Big data(企業內部和外部)來發現隱藏的關係和攻擊模式,阻止攻擊威脅,以及優先排序補救措施。安全情報需要一個包羅萬有(內容豐富)的系統(不只是傳統的日誌記錄)來攝取大量資料,以及應用行為的分析來實際確定洩漏事故的可能發生時間。
3.統一管理加強防禦能力
企業安全防護主要是保護其人員、資料、應用程式和基礎設施(雲端或內部部署)。問題是,隨著時間的流逝,企業已經部署了幾十個終端(End devices)來保護每個領域,首席資訊安全主管需要一種方法來管理分散的資料以及對其進行控制和對系統存取進行管理。其質安全情報可以橫跨這些不同的安全領域和各種安全工具,分析儀錶板,這是整合的第一步。
然而,整合的真正目標是將你所有的安全功能主行一致性設定,確保其能一致性地協調工作來阻止攻擊。例如,擁有特權用戶的異常行為會觸發警報,讓你可以阻止一個網段(同一實體層直接通訊的部分)。或者,Mobile 裝置上出現惡意軟件可以讓你停止對顧客的身份驗證。或者在應用程式中檢測到漏洞會讓你阻止利用這個漏洞的入侵。這些都是安全整合的例子。
對於真正的統一,把部署技術和解決方案作為基礎設施的一部分是不足夠的,其技術必須由「人」來實現保護。
4. 開放性很重要
企業需要能夠橫跨各種新和現有的安全技術、共用資訊和觸發行動。根據 IBM 的 2013 年 CISO 調查顯示,70% 的安全管理人員表達了對雲端運算和 Mobile 安全的關注。企業需要在雲端運算上提供與傳統 IT 環境相同水準的安全性。
這似乎有違常理,但雲端運算和 Mobile 實際上會提高安全性。隨著企業部署新技術(現在是雲端、社交媒體和 Mobile 裝置),你可以更容易從一開始就建立安全性,讓你可以即時控制和更改應用程式、權限和身份驗證過程。
通過學習上面四個關鍵因素,銀行可以關聯即時和歷史帳戶的活動來發現異常用戶和應用程式不當行為,阻止可疑交易和發現欺詐行為。全球能源供應商可以每秒分析 100 萬個事件,每天超過 850 億個事件,以確保其操作更加安全,以及符合合規性的要求。國際服裝公司可以使用安全情報來發現內部人士竊取重要的產品設計。
簡單來說,對於安全性,並不只是關於「預防」,還應該將安全看作是一種免疫系統,可以通過成熟的預測分析變得更強,並提供企業範圍的風險檢視,以及在不犧牲創新能力的情況下,邁向 Mobile 和雲端運算的時代。