网络犯罪日益猖獗,信息安全专家必须改变安全战略

商业流程越来越信赖信息流程,组织面对的各类安全威胁已经不是简单交给信息安全部门就可获得圆满解决的了,相反,组织应该采取更加具有前瞻性战略眼光、基于业务持续性计划的综合风险管理方案。

外部安全威胁如来自互联网的威胁仍然会呈几何级数增长,让安全防范如临大敌,更严重的是它们一旦合体,则破坏力更是无比,高级可持续性威胁APT即是如此,有组织的、有目标的、坚定的网络犯罪份子是目前公认最难防范的安全威胁。商业间谍更是在市场竞争日益激烈的时代练就了一身的本领,他们受雇于竞争对手,用尽各种手段,企图获取各组织的机密数据,进而摧毁其核心竞争力。

未来几年,全球范围内的新一波信息化浪潮会进一步席卷各类组织,网络犯罪也会持续水涨船高。而国家之间的互联网军备竞赛无疑将导致一场新的互联网冷战,互联网大规模杀伤性武器和防御体系会相继问世,不要以为这些不会影响到民用和商用领域,就如同战争来时,炮弹不长眼,平民也无法幸免一样。

来自内部的安全威胁更是让各类组织不容忽视,各类组织迫于成本、效率和竞争力的压力,不得不销减各类开支和采用创新方案,虚拟化、云计算、外包服务、移动办公、BYOD等等带来成本降低效率提高的同时也带来了众多新的安全漏洞,让组织内部的安全弱点暴露给外部攻击者,更不用提不满的内部员工和安全意识淡漠的员工。

商业供应链也是难定内外的一大安全威胁来源,现代组织的信息数据分散存放及传播于多家合作或关联组织,每个环节都有可能令数据暴露,引起的安全事故给组织及供应商带来不利影响,但是再大的影响也抵挡不住供应链数字化、更多职能外包的趋势。

要积极应对这些外患内忧,非个人英雄主义者可以解决,安全专家需要帮助高层管理团队了解信息安全的价值,组织应当积极采取信息安全治理框架,并紧密结合组织的商业风险管理体系,要分配必要的安全资源,以确保持续的安全投入能满足到业务的需求。

在获得了高管阶层的认同和支持之后,安全专家要将这些新的安全战略落实,最重要的步骤仍然是沟通,即通过实施信息安全意识教育计划,让所有员工了解到组织所面临的内外部安全威胁,防范这些威胁的通用安全措施,自己在日常工作中所担负的安全职责等等,进而发起群防群治运动,筑建立体的多层安全防线。

探讨从管理层面应对零天攻击的有效对策

科技创新速度之快,让信息安全负责人员可以从容实施各类安全保障措施,来应对各类泛滥的安全威胁。

然而,零天(zero-day)攻击似乎让安全负责人防不胜防,传统上的漏洞(或称弱点)生命周期规律正在被打破,黑客不再向以往那样炫耀发现了某些系统的漏洞,然后有跟进者积极寻找漏洞的利用方式,并尽可能写出可以简化利用漏洞造成破坏的代码,与此同时,受影响系统的厂家积极修复漏洞,并发布补丁和公告,以便用户尽快修复。

黑客们发现要想取得重大成功,最重要的是速度和数量,要抢在厂家的修复建议出来之前尽可能感染和控制最多的终端计算系统,所以,他们极力制造能自动入侵和感染其它计算系统的蠕虫型病毒,并搭建僵尸网络命令与控制中心,以便能有效利用这些资源牟利。

然而,这种攻击方式显得有些漫无目的,曝光的安全漏洞经常会被大型厂商及时修补,让黑客们的僵尸电脑损失不少,于是他们将目光转向了对特定目标的攻击,当然也学聪明了——不轻易向公众和厂商透露漏洞信息,只在一个小圈子里进行未公开漏洞的买卖。

这种新型的锁定目标的零日攻击的危害性更大,黑客利用系统厂商都不知晓的严重安全问题,最终用户如何防范呢?这不禁令人不寒而粟。

更让人担心的是0day遇上APT,即高级持续性威胁,APT是长期的、有计划、有组织的黑客潜伏行动,目标是窃取机密信息。趋势科技中国区资深产品经理林义轩表示:“以往这类攻击手法都针对政府和某些政治狂热份子为主,后来这种攻击被黑客广泛使用在一些大型企业的核心资料窃取上。”

假如黑客已经渗透进公司的安全控制中心,即便部署再多的安全控制措施如防病毒、入侵检测及防火墙等等,在海量的数据中,恐怕也难检测出一点潜伏者的蛛丝马迹,即使某位系统安全管理员在例行检查日志或报表时发现异常情况,这时再追查善于伪装的攻击者恐怕也是亡羊补牢,为时晚矣。

那有什么招儿呢?总不能无所作为,坐以待毙吧?应对之策无非构建多重防御体系,加强安全意识教育。

如果对关键的核心机密数据只实施一层防御措施的话,简单的0day零日攻击即可宣告机密数据外泄。如果有多层防御体系,攻击者要到达突破多层安全控管措施,到达核心层,所需的时间和精力会成倍上升,同时,多层防御也容易使这种潜伏式APT攻击行为暴露马脚,安全团队也有足够的时间还进行响应,比如进行防御体系的及时修复和加固。

而加强对员工们进行信息安全意识教育,则是防范0day和APT攻击的最后一道防线,再坚实的城堡也需要人员来守卫,如果人员打开城门,不加抵抗直接投了降,那多层的复杂防御体系反倒会方便攻击者进行占领之后的守卫或深入渗透。而在信息安全防范体系中,普通员工甚至管理层都类似城堡的守卫人员,经常会成为攻击者利用的对象,比如通过社交攻击攻击、网络诈骗或钓鱼邮件攻击等方式获得信息系统的控制权或高管对机密信息的访问权。相反,警觉的经过充分信息安全培训的员工会意识到这些攻击事件,并及时在全员范围内发现警告,这便让攻击者和攻击行为无处遁形。

切记,狡猾的攻击者会不断变换手法,并且找寻和利用新的未知安全漏洞,所以,安全防范体系仍需不断加强,而针对全体员工的安全意识教育,更需紧跟时代变迁的步伐,针对各类新老威胁,不断改进,重复刷新。

最后,需要安慰读者的是,狡猾的掌握着0day漏洞的资深黑客并不多见,魔高一尺道高一丈,只要我们坚持信息安全分组保护、多层防御的原则,认真在全员范围内进行信息安全认识和技能的普及教育,绝大多数低级的黑客攻击行为将被制止,而APT攻击也会得到相应的有效遏制,正义终将战胜邪恶。

在对全体员工进行安全意识培训或安全理念的普及教育方面,昆明亭长朗然科技有限公司有丰富的实践经验,特别能针对客户的特殊信息科技环境,定制设计和开发出最合适的安全意识培训方案和课程内容,像针对APT攻击的防范手段一样,这些培训方案和内容资源也是多样性、综合性和全面性的,安全培训的方案实施也是长期的、有计划和有组织的。

security-attack-0day