文章摘要:您还需要评估关键数据的可用攻击途径,包括链接漏洞。鉴于成功的数据泄露量持续增加,您可能需要投资一些可以通过网络查看的工具来识别设备、操作系统和补丁级别。基于特征码的检测工具可以让您快速查找,并阻止任何尝试的渗透,或执行针对已知漏洞的漏洞利用。如果没有分割和检测工具,这些威胁可以自由收集,破坏和泄露数据。
最近关于大规模数据泄露的报道,令所有人都感到震惊。客户担心他们的财务和个人信息遭到劫持。受到威胁的组织担心近期和长期的业务影响。其他组织担心他们是否会成为下一个。但有两件事是确定的。数据泄露的成本将非常昂贵,并且不会是最后一次发生。
那么有个大家都在问的一个大问题是,我该怎么做呢?
一、受影响的消费者应该尽快更换支付卡及相关密码
对于消费者来说,如果您在任何发生泄露的的零售商(无论是在线还是亲自购物)进行过购物行为,现在要做的第一件事就是致电您的银行或发卡机构并更换您的信用卡。如果您将自己的卡绑定到自动支付其他东西,这会是一个大麻烦。接下来要做的就是上网并更改密码。如果您对很多不同的帐户使用相同的密码,请立即更改。最后,在主要信用报告机构开始监测您的信息,如果发生任何不对劲的地方立即报告。
除了那些受到个别影响的人之外,今天在全国各地的董事会会议室被问到的问题是组织可以做些什么?如何确保这些不会发生在他们身上?
二、受影响的组织首先要进行的动作
许多现有的安全解决方案不足以保护新的数字网络。为确保您能够保护您的组织,您需要建立一个可以使用的网络和安全基准。这包括三个关键要素:
1. 进行风险评估
彻底的风险评估有助于确保保护和监控业务当中至关重要的因素。由于许多原因,复杂的网络意味着您可能无法保护和监控一切。您需要通过不断调整安全措施与业务目标,将这种评估集中在对您的业务产生最大影响的风险上。
2. 将您的安全性落实到您的网络架构
网络体系结构和设计通常始于良好,但随着时间的推移,网络规模和复杂性不断增长,要么使得安全解决方案效率下降,要么更复杂。无论哪种方式,您最终都会遇到网络盲点,资产保护不足以满足您的安全要求,或者更糟糕的是,无法保护您的资产。要充分了解自己的优势和劣势,重要的是要识别这些优势,进行有效的利用与控制。
您还需要评估关键数据的可用攻击途径,包括链接漏洞。这可能会帮助您优先考虑要解决哪些漏洞。有各种可用于指导您的框架,如ISO、CIS关键安全控制(SANS Top 20)和 NIST网络安全框架 。
3. 确定资产
网络正在快速增长,并且越来越多地跨越各种生态系统,从虚拟化数据中心到多云环境。结合连接到网络的端点设备数量不断增加以及物联网设备的爆炸性增长,建立和维护准确的设备清单可能具有挑战性。复杂的环境并不总能为他们不断变化的基础设施提供清晰的集中可见性。
鉴于成功的数据泄露量持续增加,您可能需要投资一些可以通过网络查看的工具来识别设备、操作系统和补丁级别。在大型环境中,您还需要将这些信息与良好的威胁情报联系起来,以便您可以查看并确定最高风险的优先级。
三、防范数据盗窃及数据泄露
一旦掌握了基准可见性和控制策略,就需要部署能够主动保护重要数据和资源免遭盗窃和危害的解决方案和策略。以下是每个组织需要考虑的七个关键战略:
1. 实践良好的安全保障
我们一直在观察被攻击成功的漏洞,这些漏洞在过去几年中很容易被获得。虽然新的攻击是一个真正的风险,但大多数实际上是由数周、数月甚至数年的攻击造成的。实际上,绝大多数攻击针对的是已经有补丁可用的漏洞,至少已有三年时间,其中有的甚至已有十年之久。
每个组织都必须立即开始修补每个盘存的设备,然后建立正式的修补和更新协议。接下来,在确保您所控制的设备已打补丁之后,您需要确保那些您不能控制的设备被正确分割、隔离或拒绝访问。您还需要确定并替换或删除那些无法修补或保护的系统。理想情况下,整个过程需要自动化、跟踪和测量。
2. 将本地和全球威胁情报与SIEM解决方案相结合
高级 威胁情报 使组织能够缩短检测威胁的时间,缩小检测与响应之间的差距。这是通过利用已经在您的网络中收集的威胁情报开始的,这也需要旨在共享和关联信息并采取协调行动的安全工具。
仅靠地方情报是不够的。您还需要威胁源,以便及时了解全球最新的威胁趋势和漏洞利用情况。将这些数据转换为可与本地智能和基础设施交互关联的可操作智能可能需要 安全信息事件管理 ( SIEM )和 Web应用防火墙 (WAF)技术,这些技术可以使用数据,将其转换为可操作的策略,甚至自动将其应用于保护您的网络。
当然,分布式、高度弹性的网络也在不断变化。SIEM工具允许您汇总来自整个网络的数据,将其与本地和全球威胁情报源相关联,然后提供即时详细信息,如妥协指标和违反安全策略的指标。
3. 部署基于签名的安全工具
因为大多数被利用的漏洞都是已知的,所以针对这些漏洞的攻击可以通过签名来检测。基于特征码的检测工具可以让您快速查找,并阻止任何尝试的渗透,或执行针对已知漏洞的漏洞利用。
基于签名的工具在复杂的环境中也很有效,例如物联网和其他无法更新的互连设备越来越多地被组织采用的零补丁网络部分,尽管它们已被证明极易受到攻击。
4. 添加基于行为的分析和数据消毒
并非所有威胁都有可识别的签名。复杂的攻击可以规避保护并逃避检测。这意味着您还需要 高级威胁 防护工具,如可动态跟踪的沙箱、反汇编和识别 0Day 恶意软件 变种,并将该数据与其他安全基础架构相关联。 用户实体行为分析UEBA 工具还可以更轻松地识别内部安全威胁并找到单个犯罪者。
说起来容易做起来难。攻击者还使用先进的技术,如学习和模仿合法的流量模式,以逃避检测。安全工具不仅需要检查和检查数据和应用程序,以寻找低挂恶意软件,而且还要提供深入检查和分析,以便随时间查找和关联模式,以检测并确定恶意目的。在可能的情况下,智能安全系统需要能够主动自动进行干预,以便在攻击开始之前阻止攻击。
一种新的趋势是用于数据清理的内容撤防和重建(CDR)工具。CDR处理传入文件,解构它们,并删除活动内容。此方法通过主动从特定文件中删除恶意内容来强化零日文件保护策略,从而防止意外加载连接的恶意软件和恶意可执行文件。
5. 使用Web应用程序防火墙关闭基于Web的攻击向量
许多威胁不再通过传统途径进入网络。基于Web的攻击利用应用程序的指数级增长,特别是那些旨在直接在数据中心查询和挖掘信息的应用程序。
由于对自主开发和定制的Web应用程序的需求增长如此之快,许多组织根本没有时间或资源在部署前充分测试和加固它们。缩小差距的一个有效方法是实施WAF。这些安全设备专用于提供深度高性能检测,这远远超出传统NGFW技术所进行的Web应用程序流量检测。
6. 更换您的孤立点解决方案
由于网络不断变化,在网络或数据中心边缘部署安全安全设备或平台的传统已不再适用。大多数这些传统的点安全技术也倾向于孤立运行,这意味着他们只能看到和响应当前的威胁。
但考虑到今天的多向量和智能威胁的性质,安全解决方案需要互连成一个可以跨越并适应弹性网络架构的单一、紧密结合的系统。动态集成和关联提供了整个网络的实时可视性,这是至关重要的,因为您无法防御您看不到的威胁。此外,一个集成的、协调的安全解决方案系统使组织能够主动和智能地将网络攻击作为一个协调系统进行攻击,无论这些威胁发生在哪里。
首先查找旨在使用诸如开放式API,通用操作系统或统一管理工具等分享智能的工具。安全结构体系结构还将传统上孤立的安全工具互连起来,使他们能够共享和关联信息。他们还提供集中协调,单一玻璃管理,一致的策略分配以及对攻击的自动协调响应。它还可以动态强化安全和访问点,隔离受影响的设备和恶意软件,识别易受攻击或受到危害的系统,并启动取证分析和修复。
7. 对您的网络进行分段
鉴于网络化生态系统的流动性以及跨越多个网络的广泛应用和数据流,建立并维护有效和安全的网络分段比以往任何时候都更加重要,以此防止威胁在网络中水平分布。通过部署内部网络分段防火墙并建立宏观和微观分割策略来防止威胁扩散,组织可以显着提高安全性。我们的目标是在网络外部深处创建一致的策略和执行,以管理和保护数据和应用程序的横向移动。
在单个环境中收集和关联大量数据或互连跨越多个网络环境的情况下,建立分割控制尤为重要,这样的分割控制有利于检测能够穿透一个网段的周边的威胁并且 横向移动攻击 的情况。如果没有分割和检测工具,这些威胁可以自由收集,破坏和泄露数据。
四、有些东西需要改变
尽管当今数据泄露的规模和频率令人担忧,但攻击组织所遭受的并不是独一无二的。具有高度灵活性和适应性的网络环境的太多组织,仍然依靠孤立的第二代安全解决方案和策略来保护它们。然而,今天的安全无比重要。它需要将规划、人员和流程与适应性安全技术相结合,旨在动态扩展到当今的数字网络,在整个分布式网络中查看和协调,并作为单一的主动防御系统自动响应,以解决针对它们的高级网络威胁。
