| 摘要:对于安全从业者而言,相信大家都不陌生“一分预防胜过十分治疗”这句话。话虽然这样说,但在我们已经贯彻实施了二十年的打补丁、防火墙等预防工作理念,其结果又怎样呢? |
对于安全从业者而言,相信大家都不陌生“一分预防胜过十分治疗”这句话。话虽然这样说,但在我们已经贯彻实施了二十年的打补丁、防火墙等预防工作理念,其结果又怎样呢?
安全产品成为黑客攻击面
就在刚刚过去的这一个月中,赛门铁克发布了好几个补丁,都是为了修补其终端保护产品(SEP)的漏洞。这些漏洞可以被用来提升权限,执行任意代码。也就是说,世界头号防病毒平台可以被黑客利用来发动攻击,攻击那些安装了SEP的设备。
无独有偶,去年8月赛门铁克就曾经修补过一系列的高危漏洞,包括认证绕过、权限提升,甚至还有为数不少的SQL注入。虽然人们有理由指责赛门铁克,毕竟一个重要的安全厂商连自己的安全都没有解决,又怎么能够做好对别人的保护。但同时,身为安全领域的专业人士,我们也知道,抵御黑客攻击的安全产品反而被黑客利用来进行攻击,并不是非常罕见的事情。
卡巴斯基、Avast、趋势科技、AVG、英特尔安全、ESET、趋势科技、飞塔、思科等众多耳熟能详的杀毒软件、防火墙产品,都曾曝出过可被黑客利用来发动攻击的漏洞。进一步思考的话,还有多少没曝出的漏洞呢?而且,如果赛门铁克,这个全球最大的独立安全厂商都无法开发出没有漏洞的产品,那些非安全领域的企业又能好到哪里去呢?
漏洞,换个一角度来描述,就是错误。上面说了这么多,其反应出来的实质问题就是:
软件是人开发的,而人是避免不了错误的。谈谈自适应
近年来,安全从业者面临的一个严重现实就是攻击面增长的太快、太复杂,大量的新应用上线部署,意味着新漏洞的出现和新的被攻击的机会,因此针对性的防护封堵越来越难以匹配,反应到现实当中,就是发生的安全事件越来越多,影响程度也越来越严重。因此我们应该反思,我们是否过于强调了修补和预防?是否能够有一种更加综合有效的方法来做好安全工作?
一些领先的安全机构或企业开始强调检测、感知,基于威胁情报去主动地阻止并破坏网络犯罪分子的整个攻击生态,Gartner将这种理念称之为“自适应安全架构”。它有以下几个关键点:
首先,我们需要对企业资产,包括企业内外的IT设备,有一个持续的“可见”。忘记应急响应吧,持续响应才是王道。我们不仅要对企业的现在了如指掌,还能在需要的时候对企业的过去进行回溯。因此,实时的检测监控,以及对相应信息的存储是成就这种能力的关键。
第二,增加对数据分析的投入。补丁、防火墙等预防工作是被动的是名单驱动的,而发现未知威胁需要前置的问题通知。数据分析技术近年来已经发展的很好,可以在识别恶意活动方面发挥巨大的作用。
第三,一体化和自动化。安全人员的缺乏和业务的复杂,提出了自动化和一体化的现实需求。我们应该整合各方面的安全工作,并精心选择安全工具,力图用更少的时间做更多的事情。
最后,我们要利用这些检测、分析、可见等能力去了解攻击者,了解他们的方法和动机,以更好的预测他们下一步可能会采取的行动。换句话说就是,使用从之前攻击行为中获得的情报,来判断和预防下一次的攻击。
专注于打补丁、防火墙等传统防护手段的安全战略是一件费力不讨好的事,是愚人做的事。而包括检测、预判和持续的可见及响应能力,才是安全防护工作的方向和未来。
责任编辑:DJ编辑
评论表单加载中...
