采用類軍事化方法保衛(wèi)網(wǎng)絡(luò)安全
發(fā)布時(shí)間:2015-04-01黑客攻擊已經(jīng)成為司空見(jiàn)慣的事情,零售、金融、醫(yī)療、娛樂(lè)、電商、電信……幾乎各種行業(yè)領(lǐng)域的企業(yè)都遭遇過(guò)嚴(yán)重的網(wǎng)絡(luò)攻擊。
采用類軍事化方法保衛(wèi)網(wǎng)絡(luò)安全
相比之下,我們極少聽(tīng)說(shuō)軍隊(duì)、國(guó)防或者政府情報(bào)機(jī)構(gòu)被黑客入侵。為什么呢?肯定不是因?yàn)樗麄儧](méi)有遭受攻擊,事實(shí)上這些機(jī)構(gòu)更會(huì)是許多黑客攻擊的重點(diǎn)目標(biāo),針 對(duì)這些機(jī)構(gòu)的大規(guī)模攻擊每天在發(fā)生。但由于這類對(duì)安全高度敏感的機(jī)構(gòu)在網(wǎng)絡(luò)安全上采取了類軍事化的方法,絕大部分攻擊只能無(wú)功而返。因此有人提出,既然軍 事化的方法非常有效,那么為什么不讓公司企業(yè)也采取這種方法來(lái)保衛(wèi)自身的網(wǎng)絡(luò)安全呢?
麥克?沃爾斯是網(wǎng)絡(luò)安全公司EdgeWave的安全、運(yùn)營(yíng)和分析常務(wù)董事。他之前是軍艦隊(duì)網(wǎng)絡(luò)司令部1030特遣部隊(duì)的指揮官,最近剛剛退役。沃爾斯任指揮官期間負(fù)責(zé)超過(guò)40萬(wàn)人、300艘艦船和4千架飛機(jī)的網(wǎng)絡(luò)指揮,在保衛(wèi)美國(guó)政府?dāng)?shù)據(jù)庫(kù)和改進(jìn)海軍計(jì)算機(jī)網(wǎng)絡(luò)整體安全協(xié)議中曾起著重要作用。
沃爾斯的新工作,是將軍事化的網(wǎng)絡(luò)安全帶到企業(yè)組織中來(lái)。這是一種高精度與集成網(wǎng)絡(luò)能力的服務(wù),采用軍事級(jí)別操作,可以精準(zhǔn)識(shí)別網(wǎng)絡(luò)攻擊并提供集成的實(shí)時(shí)防護(hù),公司將這種服務(wù)命名為EdgeWave EPIC。
沃爾斯在海軍服役時(shí)的最后一項(xiàng)任務(wù)是負(fù)責(zé)保證艦船和岸上人員準(zhǔn)備就緒。為達(dá)到這個(gè)目標(biāo),沃爾斯組建了3只隊(duì)伍。紅隊(duì)負(fù)責(zé)對(duì)海軍各組織和艦船進(jìn)行非合作的評(píng) 估,他們從位于弗吉尼亞的實(shí)驗(yàn)室向艦艇戰(zhàn)斗群的網(wǎng)絡(luò)或者岸上設(shè)施的網(wǎng)絡(luò)發(fā)起滲透攻擊,而大多數(shù)時(shí)候他們的滲透都是成功的。通過(guò)這種方式,他們幫助訓(xùn)練網(wǎng)絡(luò) 操作者如何識(shí)別敵對(duì)攻擊,并幫助作戰(zhàn)人員學(xué)會(huì)怎樣在對(duì)抗環(huán)境下繼續(xù)使用網(wǎng)絡(luò)。
采用類軍事化方法保衛(wèi)網(wǎng)絡(luò)安全
藍(lán)隊(duì)則做一些更具合作性的評(píng)估。他們會(huì)在IT人員陪同下接入網(wǎng)絡(luò),把相關(guān)數(shù)據(jù)帶回實(shí)驗(yàn)室做進(jìn)一步分析研究。之后會(huì)拿出一份報(bào)告,指出被分析的網(wǎng)絡(luò)是否有任何異常。除了漏洞的評(píng)估環(huán)節(jié),這支隊(duì)伍同時(shí)也會(huì)培訓(xùn)IT人員怎樣更好地防護(hù)自身網(wǎng)絡(luò)。
第三支是滲透測(cè)試隊(duì)伍。他們與海軍采購(gòu)部門合作,在海軍購(gòu)進(jìn)的潛艇、黑匣子及其他設(shè)備上做滲透測(cè)試。
軍事化網(wǎng)絡(luò)安全是一副360度無(wú)死角的安全視圖,包括了威脅、攻擊方法、漏洞、防御策略,以及人員教育和培訓(xùn)。其宗旨是“監(jiān)測(cè)、評(píng)估、獲取數(shù)據(jù)、分析數(shù)據(jù),并盡快將分析結(jié)果反饋到系統(tǒng)和流程中,如同軍事作戰(zhàn)過(guò)程。
人為因素在這一過(guò)程中非常關(guān)鍵。
我的思想觀念里,人的參與是絕對(duì)關(guān)鍵的。自動(dòng)化很重要――這毫無(wú)疑問(wèn),離開(kāi)自動(dòng)化你干不了這些事情。但我個(gè)人在網(wǎng)絡(luò)作戰(zhàn)環(huán)境下的經(jīng)驗(yàn)是:如果你沒(méi)有掌握正確 技能的分析人員,并真正關(guān)注到那2%的異常行為事件,你將錯(cuò)過(guò)某些發(fā)現(xiàn)。這里我說(shuō)的作戰(zhàn)環(huán)境,是指與重量級(jí)對(duì)手作戰(zhàn),不單單是對(duì)付一小撮犯罪黑客。”沃爾斯以2013年塔吉特?cái)?shù)據(jù)泄露事件舉例。這家公司擁有最好的技術(shù)來(lái)保護(hù)他們的網(wǎng)絡(luò),也的確發(fā)現(xiàn)了可疑行為的跡象。但是,負(fù)責(zé)監(jiān)視系統(tǒng)的人沒(méi)有對(duì)警告給予足夠的關(guān)注。為什么即使擁有世界上最好的技術(shù)并獲得最好的自動(dòng)分析結(jié)果,也無(wú)濟(jì)于事呢?其關(guān)鍵在于:盡快發(fā)現(xiàn)異常以減少?gòu)牟煊X(jué)異常到傷害發(fā)生的時(shí)間差,這樣企業(yè)才能有時(shí)間采取行動(dòng)。在安全監(jiān)測(cè)和異常行為檢查變得常規(guī)之前,信息泄露事件還會(huì)不斷地發(fā)生。
Filly Intelligence是另一家實(shí)施類軍事化網(wǎng)絡(luò)安全管理方法的公司,其常務(wù)董事薩默?沃登就出身自國(guó)家安全行動(dòng)中心,企業(yè)的員工具備與軍方情報(bào)機(jī)構(gòu)類似的安全意識(shí)。
“我們給客戶應(yīng)用一套充分全面的方法,并在其中采用了我們基于情報(bào)的方法學(xué)。我們從一開(kāi)始就與眾不同,并在整套安全解決方案的實(shí)施中將與眾不同貫徹下去?!鼻閳?bào)方法學(xué)就是使用曾經(jīng)在軍方情報(bào)機(jī)構(gòu)用過(guò)的同樣方式和系統(tǒng)方法。沃登表示,這些技術(shù)是在軍方或情報(bào)機(jī)構(gòu)生涯的辛苦工作發(fā)展而成的。從受過(guò)訓(xùn)練的、經(jīng)驗(yàn)豐富的情報(bào)行動(dòng)的視角來(lái)改變我們對(duì)威脅的理解和提供安全的方式。
沃登和她的同事們習(xí)慣于以挑剔的眼光審視公司或企業(yè)面臨的威脅。他們?yōu)榭蛻舳ㄖ频陌踩渥罨镜牧⒆泓c(diǎn)就在于對(duì)威脅的理解,對(duì)威脅真正產(chǎn)生的影響的理解之上。
隨著技術(shù)的發(fā)展,工具的進(jìn)步,加上攻擊者狂熱的動(dòng)機(jī),今天的威脅正變得越來(lái)越復(fù)雜和有效。一個(gè)好的團(tuán)隊(duì)需要真正理解并深入研究這些威脅的成因,如何減少和動(dòng)態(tài)解決威脅,找到威脅的趨勢(shì)并從中預(yù)測(cè)未來(lái)?;@些,來(lái)為客戶創(chuàng)建健康有效的安全環(huán)境。
無(wú)論是承包聯(lián)邦機(jī)構(gòu)的項(xiàng)目還是為私營(yíng)產(chǎn)業(yè)和中小型企業(yè)服務(wù),F(xiàn)illy Intelligence都采用同樣的方法。顧問(wèn)們從了解對(duì)客戶而言什么是最重要的資產(chǎn),什么因素業(yè)務(wù)影響最大,以及客戶的關(guān)鍵信息是什么開(kāi)始。然后,以反向工程的方式拿出一份安全解決方案。
“不僅僅是看到客戶的漏洞,還要將自己置于黑客的思維模式中,去思考如果我要攻入這家公司我會(huì)怎么做?我會(huì)運(yùn)用哪種策略?他們的系統(tǒng)有多堅(jiān)固?我得動(dòng)用多大的資源才能攻進(jìn)去?”
下一步就是查看攻擊的可能性和所造成的影響,然后拿出一份解決方案建議書(shū)給客戶。這種解決方案并非一套無(wú)所不能的解決方案,因?yàn)樗械慕鉀Q方案都是建立在具 體需求之上的。需要深入觀察客戶,理解他們做業(yè)務(wù)的方式,弄清哪些是需要保護(hù)的關(guān)鍵信息。綜合這些因素,然后再盡力拿出一個(gè)即經(jīng)濟(jì)又實(shí)惠的解決方案,并具 備彈性的安全框架。這樣做才算是真正的考慮到了企業(yè)及客戶雙方的利益。
保障企業(yè)安全需要有一種安全意識(shí),在軍隊(duì)里稱之為行動(dòng)安全(OpSec)。它的重點(diǎn)在于培養(yǎng)時(shí)刻警醒的員工,識(shí)別威脅和正在發(fā)生的事情,真正的威脅來(lái)自哪里,誰(shuí)想獲取到數(shù)據(jù)以及用什么手段獲 取數(shù)據(jù)都要保持清醒的認(rèn)識(shí)。如果企業(yè)能做到這一點(diǎn)并培養(yǎng)出一個(gè)更具知識(shí)性和安全意識(shí)的員工群體,才能最大程度的緩解漏洞和安全事件發(fā)生的可能性,因?yàn)?80%的數(shù)據(jù)泄露都源于計(jì)算機(jī)操作的入口被黑客攻陷。
安全牛評(píng)
政府機(jī)構(gòu)和軍事情報(bào)部門更加不易被入侵的原因,部分在于這些機(jī)構(gòu)中存在的保密文化氛圍和嚴(yán)格遵守安全相關(guān)標(biāo)準(zhǔn)的人。因此,一個(gè)堅(jiān)實(shí)可靠的安全環(huán)境的打造應(yīng)該從人開(kāi)始。不要把大把的預(yù)算投入到高耗費(fèi)和新奇華麗的技術(shù)上,大投入未必等于真安全。真正起到核心作用的是企業(yè)采用的正確安全方案和良好的文化氛圍--信息安全意識(shí)。