關於企業安全的五個建議

最近乙個時期以來，美國各大機構不斷發生的資料洩露事件引發了人們一連串的疑問：現有的安全工具和安全方法究竟能否有效地應對新型的安全威脅?

過去十年間，眾多的私人企業和上市企業花費了數十億美元來提公升自身的安全性，然而那些惡意的攻擊者們似乎總都能成功地繞開其攻擊道路上的任何障礙物。

這一趨勢導致很多企業不得不接受一種回歸基本的方法，也就是將重點放在人、流程和技術上，不再把安全功能視為經營企業的一種麻煩的成本。越來越多的企業正在將安全看成是各種創新舉措的戰略性賦能者。

「安全功能與產品研發並不是相互排斥的，」萬事達公司的ciso(首席資訊保安官)ron green說。「我們並未將安全看成是一項孤立的責任。」

相反地，萬事達的安全專家們都會被派到各個業務創新團隊中去，如萬事達實驗室、新興支付團隊和企業安全解決方案團隊等。重點是要長期管理產品，並利用安全去提公升持卡人的體驗。

「管理團隊期望我們能將安全作為一種標準實踐納入所有的產品中，」green說。儘管這種做法可能會影響專案的進度，但這種耽擱是值得的。「如今對客戶來說，安全已成為入場籌碼，他們期待企業提供安全功能，」他補充道。

不少it領導人認為，要想加強安全性，從戰略層面來講，需要有五個關鍵措施。儘管從戰術和操作層面上講，實施這些措施的方式可能會有很大的不同，但最關鍵的還是要有高屋建瓴的目標。

1. 強化網路邊界

各種邊界技術，如各種防病毒工具、防火牆和入侵檢測系統一直是企業安全戰略的主體部分。這些技術主要是尋找各種已知病毒和其他型別惡意軟體的各種特定的標記、簽名，然後去阻止此類的惡意程式。

一些知名機構連續不斷發生的資料洩露事件已經可以確定，基於簽名技術的邊界安全工具在防範惡意黑客有高度針對性的攻擊方面是無效的。因此有些企業已準備放棄邊界及其相關技術，但是很多企業依然堅稱邊界工具在防止惡意軟體方面還是有重要作用的。然而無論如何，如果將邊界安全技術作為唯一的甚至是主要的防禦技術的話，那麼企業的安全防線就可能不堪一擊，ibm公司的安全研究人員marco pistoia如是說。

「不斷出現的網路安全攻擊事件表明，黑客可以繞開任何型別的物理限制，」pistoia稱。「基於邊界的防禦儘管仍是必要的，但一切手段都是不完善的，只有總和所有的手段，我們才有可能保障計算系統的安全。」

他說，無論從戰略還是戰術角度看，對於企業來說，只能將基於邊界的防禦看成是企業安全鏈條中的乙個重要環節而已。

同樣重要的還有模式識別和**分析工具，這些工具能夠為正常的網路行為確立乙個基準，然後才能探測出哪些行為偏離了這一基準。 fenwick & west的cio[注] matt kesner認為，正如邊界上的防火牆在攔截已知的威脅時才是必須的一樣，web應用防火牆也只有在檢測惡意軟體可能突破外部邊界時才是必須的。

「從技術方面說，在邊界防禦上我們還得繼續投入時間和資金，」kesner稱。但他也沒有一味只在網路邊緣上做基於簽名的攔截功能，而是更多地在網路的各層上建立了冗餘的惡意軟體攔截系統和防火牆，包括在公司web應用伺服器前端放置防火牆。fenwick & west使用了日誌事件協同系統，it部門可以從網路上的所有裝置中聚合、關聯和分析日誌記錄和規則資訊。

kesner還部署了一些出自細分廠商、具有特殊功能的安全產品，比如通過檢測目錄資訊，從中發現是否存在可疑的特權公升級跡象和深度潛伏的網路入侵者。「我們花費了大量時間，以便確保邊界能如我們預期的那樣工作。我們假設洩露隨時都可能發生，因此希望更好地防範它的發生。」

近幾年才出現的一類新型產品具備所謂的「殺傷鏈」功能，出自像palo alto一類的安全廠商。這些系統不僅能幫助客戶發現惡意軟體，而且還能讓客戶監控黑客是如何利用惡意程式進入網路的，有了這些資訊，系統最終就能幫助客戶消除威脅。

很多新型的安全工具都是基於這樣乙個前提來開發的，即無論是個人黑客還是黑客組織通常前後都會使用同樣的惡意工具，或者同樣的攻擊套路。因此只要識別出這些組織或個人的攻擊特徵，那麼就更容易為企業部署防範這些特殊攻擊工具和方法的產品。

2. 建立檢測和反應能力

最近一段時間，絕大多數針對企業的攻擊基本上都是由有組織的犯罪團夥或者國家行為者來實施的，具有高度的針對性。過去那種隨機而零星的攻擊已被精心設計的有組織攻擊所取代，此類攻擊多數都是為了竊取企業資訊、智財權、商業秘密和財務資料。為了粉碎抓捕犯罪分子，企業必須能夠深入到大量的資料中，去尋找那些在一段相當長的時間內出現的一些微小的、甚至是不起眼的增量特徵。

在這樣的環境中，任何安全策略都應盡可能地強調檢測和響應能力。

「基於靜態規則和簽名的預防***不可能攔截已獲得立足點，有確定針對性的高階攻擊者，」rsa的技術解決方案總監rob sadowski稱。因此重要的是要優先考慮早期的檢測和響應，以便確保一次入侵不會對業務帶來危險或損失。

為了推動這種變化，sadowski稱，企業的it負責人就需要使用能夠讓他們獲得粒度更細的可見性，能夠探查到基礎設施內正在發生什麼情況的工具。

比如說，必須增強現有日誌中心對網路資料報的捕獲能力，需要部署端點監控技術，讓安全管理者能夠獲得有關攻擊者行為的更為完整的畫面。

sadowski稱，在發現並限制已經受損的證書的影響時，使用身份管理、身份治理和行為分析等工具也同樣是非常重要的。

萬事達的green表示，企業必須採取多層次的安全防禦手段。「一種方法解決不了所有的問題。」他所指的正是企業過分仰賴基於簽名的邊界安全手段所帶來的弊病。

這種多層次的方法還應包括防範內部人攻擊，而不只防範外部人攻擊的方法。green解釋道，「內部威脅往往會帶來更大的危險。所以企業必須有一套強大的、分層級的安全方案，同時應對內外部威脅，一旦攻擊出現便可進行快速的識別和補救。」

3. 開發安全的**

存在漏洞的web應用通常都會給黑客提供訪問企業網路和資料的相對容易的入口，因此保障web應用的安全，從而保障資料完整性和機密性，是至關重要的。

很多常見的、眾所周知的應用缺陷，如sql注入缺陷、跨站指令碼漏洞、不健全的驗證和會話管理等，曾經讓無數的企業和組織吃盡了苦頭。然而只有最新一輪對於一些知名企業和組織的入侵，才真正推動了對於安全**的需求。

「如果你正在開發乙個應用，那麼與之相伴的肯定是對安全的期望，」green稱。「在涉及安全和隱私保護時，你當然還希望你的**商也能將安全作為最高優先項。」他補充道，這一點對於**鏈合作夥伴和其他的商品與服務廠商來說也是一樣的。

ibm的pistoia認為，計算系統中軟體部分的固化尤其要當心，因為這可能會讓軟體的漏洞深深巢狀在**內部。為了防止應用遭受攻擊，從而保護資料的完整性，企業就必須讓安全成為軟體生命週期每個階段必不可少的構成部分，而且正確的**審查實踐也應及時到位。

pistoia稱，先進的應用開發系統會對每一次提交的應用**進行審查，或者執行週期性審查。

他說，靜態和動態的**審查也已越來越多地進入了產品開發流程，這也讓it專業人士更加關注owasp所開列的十大安全風險。

更重要的是，隨著devops實踐越來越多地被採用，一些組織就有機會在軟體生命週期的初期階段便將安全選項整合了進來。「安全是提高devops採用率的最大推手。」devops.com的資訊保安專家兼總編alan shimel稱。

開發和運營團隊需要認識到，安全是一種共同的責任，而且在產品生命週期的早期階段就應將安全控制整合進來。他欣慰地說，這種情況如今正在越來越多地出現。「但我們仍處在需要不斷說服大多數企業的安全人員相信devops能夠提高安全性的階段。」shimel如是說。

4. 關注人的因素

近些年來所發生的很多大規模攻擊，在開始的時候大多人畜無害，攻擊者會利用屬於合法使用者(如員工、商業合作夥伴或者**商)的登入憑證進入網路。黑客們常常利用圓熟的社會工程學和釣魚郵件盜取企業內某人強度不高的密碼和使用者名稱，藉此進入企業網路，然後通過這個初期的立足點再去進入關鍵性的企業系統和資料儲存所在。

萬事達的green稱，「員工必須清楚他們在保護公司資產方面能夠起到什麼樣的作用。」

在很多時候，員工在使用企業的資料時並不覺得自己也有保護資料的責任。為了鼓勵員工接受維護企業系統的責任，萬事達「正在樹立一種學習文化，我們會定期教育員工怎麼做才能讓企業的資產更加安全，特別是在新的威脅層出不窮的現階段。」green稱。

萬事達會將傳統的培訓方法和green所謂「寓教於樂」的方法相結合，去傳遞一些重要的資訊。「俗話說魔高一尺，道高一丈，我們必須在安全意識和安全保護方面先於犯罪分子一步。」他說。這種想法給員工留下了深刻的印象，他們現在知道自己也是企業安全團隊的乙份子，儘管他們根本用不著匯報安全方面的工作。

「正因如此，可以提公升企業安全的各種有創意的想法不斷湧現，」green說。萬事達去年10月推出的safetynet就是乙個很好的例子，該方法可有效保護持卡人的資料。

5. 保護業務流程的安全

乙個企業可以擁有最好的安全技術，但仍有可能因為壞的實踐和流程而栽跟頭。這也是為什麼fenwick & west的it部門要實施kesner所說的大大小小多種變革的原因，這些變化皆與處理敏感資料的政策和流程有關。

例如在過去，這家法律公司的政策是，只要有可能，就要對進入和流出的客戶資料進行加密。而現在，這種做法成了一項絕對性的要求。kesner的團隊還實施了一項新的政策，確保企業san中的資料無論是在閒置還是傳輸狀態都必須加密。公司所有筆記本和台式電腦上的資料也都必須加密，而it部門則會每六個月執行一次審計和測試程式，以檢查這些政策是否得到了貫徹執行。

這家法律公司還會定期找來第三方和一些安全公司做滲透測試和模擬攻擊試驗。「我們會與他們簽署保密協議，然後讓他們的安全工程師嘗試進入我們的網路，可以對任何資料做滲透測試。」kesner說。之後，公司的it團隊會要求安全公司列出必須加以改進的五項改革清單，這些清單就=則會立刻轉變為實際的安全政策。

fenwick & west如今要求其所有的合作夥伴必須書面披露他們各自的安全實踐的所有細節，並認可和理解fenwick & west所採取的安全政策和相關流程。要求合作夥伴在進入fenwick & west的網路時，必須實施基於令牌形式的雙因素認證，不再採用簡單的使用者名稱加密碼的認證方式。

很多組織如今都在採用類似的方法。網路安全具有最高的優先順序，組織的領導團隊和董事會必須認識到這一事實。viewpost的pierson稱，「董事會希望並要求了解組織從控制、治理以及運營的角度在網路安全方面的立場和所採取的措施。」

「如果你想獲得客戶的信任並留住客戶，安全和隱私保護就必須融入企業文化和價值主張。」pierson說。

原文發布時間為：2016-01-04

關於企業安全的五個建議

五條強化 SSH 安全的建議

首席資訊保安官企業新年安全戰略建議

企業雲安全審計要求與建議

關於企業安全的五個建議

五條強化 SSH 安全的建議

首席資訊保安官 企業新年安全戰略建議

企業雲安全審計要求與建議

相關推薦

首席資訊保安官企業新年安全戰略建議