探讨从管理层面应对零天攻击的有效对策

科技创新速度之快,让信息安全负责人员可以从容实施各类安全保障措施,来应对各类泛滥的安全威胁。

然而,零天(zero-day)攻击似乎让安全负责人防不胜防,传统上的漏洞(或称弱点)生命周期规律正在被打破,黑客不再向以往那样炫耀发现了某些系统的漏洞,然后有跟进者积极寻找漏洞的利用方式,并尽可能写出可以简化利用漏洞造成破坏的代码,与此同时,受影响系统的厂家积极修复漏洞,并发布补丁和公告,以便用户尽快修复。

黑客们发现要想取得重大成功,最重要的是速度和数量,要抢在厂家的修复建议出来之前尽可能感染和控制最多的终端计算系统,所以,他们极力制造能自动入侵和感染其它计算系统的蠕虫型病毒,并搭建僵尸网络命令与控制中心,以便能有效利用这些资源牟利。

然而,这种攻击方式显得有些漫无目的,曝光的安全漏洞经常会被大型厂商及时修补,让黑客们的僵尸电脑损失不少,于是他们将目光转向了对特定目标的攻击,当然也学聪明了——不轻易向公众和厂商透露漏洞信息,只在一个小圈子里进行未公开漏洞的买卖。

这种新型的锁定目标的零日攻击的危害性更大,黑客利用系统厂商都不知晓的严重安全问题,最终用户如何防范呢?这不禁令人不寒而粟。

更让人担心的是0day遇上APT,即高级持续性威胁,APT是长期的、有计划、有组织的黑客潜伏行动,目标是窃取机密信息。趋势科技中国区资深产品经理林义轩表示:“以往这类攻击手法都针对政府和某些政治狂热份子为主,后来这种攻击被黑客广泛使用在一些大型企业的核心资料窃取上。”

假如黑客已经渗透进公司的安全控制中心,即便部署再多的安全控制措施如防病毒、入侵检测及防火墙等等,在海量的数据中,恐怕也难检测出一点潜伏者的蛛丝马迹,即使某位系统安全管理员在例行检查日志或报表时发现异常情况,这时再追查善于伪装的攻击者恐怕也是亡羊补牢,为时晚矣。

那有什么招儿呢?总不能无所作为,坐以待毙吧?应对之策无非构建多重防御体系,加强安全意识教育。

如果对关键的核心机密数据只实施一层防御措施的话,简单的0day零日攻击即可宣告机密数据外泄。如果有多层防御体系,攻击者要到达突破多层安全控管措施,到达核心层,所需的时间和精力会成倍上升,同时,多层防御也容易使这种潜伏式APT攻击行为暴露马脚,安全团队也有足够的时间还进行响应,比如进行防御体系的及时修复和加固。

而加强对员工们进行信息安全意识教育,则是防范0day和APT攻击的最后一道防线,再坚实的城堡也需要人员来守卫,如果人员打开城门,不加抵抗直接投了降,那多层的复杂防御体系反倒会方便攻击者进行占领之后的守卫或深入渗透。而在信息安全防范体系中,普通员工甚至管理层都类似城堡的守卫人员,经常会成为攻击者利用的对象,比如通过社交攻击攻击、网络诈骗或钓鱼邮件攻击等方式获得信息系统的控制权或高管对机密信息的访问权。相反,警觉的经过充分信息安全培训的员工会意识到这些攻击事件,并及时在全员范围内发现警告,这便让攻击者和攻击行为无处遁形。

切记,狡猾的攻击者会不断变换手法,并且找寻和利用新的未知安全漏洞,所以,安全防范体系仍需不断加强,而针对全体员工的安全意识教育,更需紧跟时代变迁的步伐,针对各类新老威胁,不断改进,重复刷新。

最后,需要安慰读者的是,狡猾的掌握着0day漏洞的资深黑客并不多见,魔高一尺道高一丈,只要我们坚持信息安全分组保护、多层防御的原则,认真在全员范围内进行信息安全认识和技能的普及教育,绝大多数低级的黑客攻击行为将被制止,而APT攻击也会得到相应的有效遏制,正义终将战胜邪恶。

在对全体员工进行安全意识培训或安全理念的普及教育方面,昆明亭长朗然科技有限公司有丰富的实践经验,特别能针对客户的特殊信息科技环境,定制设计和开发出最合适的安全意识培训方案和课程内容,像针对APT攻击的防范手段一样,这些培训方案和内容资源也是多样性、综合性和全面性的,安全培训的方案实施也是长期的、有计划和有组织的。

security-attack-0day

信息安全培训行业呼唤互动式的在线课程

市场需求变化多端,商业模式也在随之变化,产品和服务不断被重新定义,公司要形成独特的竞争优势,疏通价值链,实现战略协同合作是当今的一个趋势。

行业领袖企业往往会占领价值链的核心,掌握和占据行业生态控制的主动权——通过信息系统整合和优化供应链,进而形成行业准入和竞争壁垒。无疑,伴随着商业模式和流程的重组和再制,海量的数据将被不断地催生、交换和处理。即使我们能设计和实施最为高效最为安全的系统,也难免要与价值链中的系统用户互动,难免需要他们参与商业流程的操作,要想到达多方共赢的局面,同时在利益博弈之中处于优势地位,绝不能忽视信息安全,绝不能忽视最终用户在公司数据保护和商业风险控制方面所发挥的重要作用,所以建立公司内外的信息安全意识培训计划势在必行。

而广义上的外部环境也日益强化法律法规的遵从性,上市公司则面临着更多行业监管的要求,计算机犯罪率的上升也让网络信息安全成为公司的必修课,要下采购订单的国际大主顾对数据的安全更是不依不挠,其中都有不少关于信息安全意识培训的篇幅。

无论如何,教育员工及价值链一些关于信息安全的基础都是必须的。信息安全意识培训帮助保护公司的信息资产,如果这些信息资产丢失,结果可能轻则伤及公司形象,重则致使公司巨额亏损甚至破产。

较为规范的大型公司通常都有足够的信息安全意识培训预算,不过仍然有不少公司没有意识到这需要一笔明确的投入,在出现严重人为原因造成的安全事故之后,相关负责人员再被问责,怕是再后悔、翻倍投入也无法挽回巨额损失。

中小型企业通常没有庞大的预算和专职的安全培训人员,如果处于行业价值链中领袖企业的上下游,则可以借鉴领袖企业的做法,甚至共同分享安全意识培训资源。

对多数企业来讲,必要的投入不是问题,只是投入多少而已,当然目标都是解决商业风险和信息安全管理中人员的意识问题,而要达到这些目标,传统上有三种途径:内部培训、外部培训或网络培训。

内训的好处是课程设置更贴身,毕竟内部讲师更了解公司的实际情况,然而不要简单认为寻找内部培训讲师不用向公司外支付费用,成本低而且效果好,非专职的讲师设计课程的资源耗费要远高于专业人员,熟悉内情和知道如何解决问题是两回事。

聘请外部培训公司或讲师,外部讲师多数更加专业,并且见多识广,虽然不是很了解客户内情,至少可以帮助推广普世信息安全真理,另外,如果前期在客户的问题挖掘、需求分析和培训战略等方面的准备充分,则可带来理想的培训效果,只是往往花费不菲,而且培训到受时间空间限制,并不可重复。

依托电脑网络进行培训则是行业趋势,它打破了时空限制,让培训资源可重复利用,进而节省成本。另外,信息安全管理负责人员如能将例行的安全培训工作系统化,其能在公司商业模式和流程创新中的卓越贡献则更是可想而知。

不管哪种培训方式,培训目标中最重要的是让最终用户明白自己在价值链的成功之中所扮演的重要角色,认可和接受自己在保障公司的成功之中所承担的重要职责。

要达到这目标,要分析用户,大部分电脑用户并非IT安全专业人员,安全意识培训应该简单明了,且接近这些日常用户,安全专家喜欢讲些深奥的安全道理,即使没有故弄玄虚,也会让用户望而却步,这种方法并不恰当,真理是朴素的,像对待不懂电脑的亲朋好友一样,告诉他们简单的安全防护道理、知识和技巧,使用这些,在保护公司的同时,也保护了他们自己和家人,他们才乐于接受。

在多数公司的培训和宣传课堂上,通常看到不少员工在打盹,他们根本没有兴趣甚至抵触这些课程,这实际上是在严重浪费时间资源,讲师们通常将这些问题归于学员,当然不能排除个案,实际上多数情况在于这些课程的表现形式过于枯燥和单调,缺乏与学员的互动。

大型的现场安全培训覆盖人群广,但是难得有实质性的互动;小型课堂式培训效果好,可是受训的人数有限;录制一段视频让员工自己在电脑终端播放着学习也缺乏互动,只是不受大型现场安全培训的时空限制……这就是多数公司进行安全培训策划时面临的困难选择。

然而,一切都在变化,互动式的信息安全意识电子学习课程越来越受人喜爱,音频视频、防呆设计、用户参与、小游戏、挑战过关、角色扮演、奖励激励、仿真游戏、测试环节等功能和方式逐渐加入,让学员们耳目一新,让课程不在枯燥,在互动中成长,在实践中锻炼,在测试中学习。

昆明亭长朗然科技有限公司近期出台了一项互动式的网络安全培训课程,看了看免费的公开版,虽然没有让这种枯燥的课题变得栩栩如生,但也变得生动形象,让公司的网络安全制度平易近人,进而让员工知晓网络信息安全的基础理念,采用标准的最佳网络安全实践。

该公司以极低的产品价格帮助重视员工培训的中小企业建立信息安全意识教育课程,也为大型公司提供客户化培训产品的定制设计和开发制作。

有理由相信,这种互动性的课程设计必将成就信息安全意识培训的未来,也必将成为信息安全意识教育的未来。