前CIA首席技术官揭秘网络安全里的“坏消息”

标签:安全网络

访客:48569  发表于:2015-08-14 10:49:37

序言:在趋势科技CloudSec2015采访了前美国中央情报局(CIA)技术长(CTO) BobFlores先生后深深的感受到——安全真的不是买了设备、买了服务那么简单的事情!


坏消息

前美国中央情报局(CIA)技术长(CTO) BobFlores先生在趋势科技CloudSec2015网络安全大会上说的第一句话就是“这里有一个不好的消息”,如今恶意软件在呈现泛滥的趋势,攻击者一方面可以在很短时间内实施入侵,也会耐心潜伏起来。防护力薄弱的企业,分分钟的时间内就会面临各类恶意入侵、数据外泄等安全风险。

调查数据显示,99%的漏洞在一年内可以被利用,76%的漏洞在2年可以被利用,9%的漏洞在10年还可以被利用。用户对于给漏洞打补丁这件事儿还是不够积极。76%的企业没有安全应急预案,其需要花费超过200天的时间去制定有效的安全应急预案。23%的收件人会打开钓鱼邮件,有11%的人会点开钓鱼邮件里的问题附件。另外,DDoS类攻击虽然极难防范,但其在所有攻击里所在比例反倒很小。

美国人事管理局被入侵案例里,有2100万的用户资料被盗。而实际上这一入侵事件早已经发生,但被发现却很晚。其入侵检测系统虽然能够发现入侵,却没有有效的安全防护去阻断攻击,而且其数据也没有进行相关的安全加密防护。

攻击者都是谁?

Bob表示,成功的攻击主要由是有组织的攻击团体所发起。而且要注意,产业链相关企业很可能会成为恶意攻击的跳板。

现在的恶意程序非常狡猾,所以要通过沙盒、蜜罐、大数据分析等技术进行应对,但这些远远不够,还需要专业的安全团队,并提高人们的安全意识。而通过共享安全情报则能够提高整体安全防护水平。

Bob建议用户,首先要确定自己所最需要保护的目标,然后据此来制定安全防护策略,部署安全防线。还要不停的对公司员工进行安全教育,告诉他们哪些邮件不能看,当发现问题时应该找谁来处理。而且这是一个需要持续进行的工作,因为攻击者有着明确的目标,其会施尽手段不达目的不罢休。所以防护者也要做好持久战的准备,并对重点目标实施重点防护。

“公司要建立好安全应急小组,人力、法务、公关之间也要形成良好的应对机制,并进行桌面以及正式的演练,使得每个人都知道安全事件发生时需要怎样去做。”另外告诉你一个秘诀,让公司的老板认可安全防护会更有利于公司的网络安全建设。

怎么才能最好的规划安全预算?首先要做好计划,确定安全防护的深度,同时参考各类相关标准。企业安全需要计算好ROI(投资回报率),做好安全评估,辨识出公司的核心安全需求,并做3-5年的预期。而且每年都要根据业务发展情况、安全威胁情况重新进行评估。可惜的是,目前只有很少的安全预算是花费在安全应急预案上,这远远不够。

应对恶意攻击让每个人都成为安全专家

Bob在其网络安全职业生涯里遭遇了“好多”让人头疼的恶意攻击,其中有两类让Bob印象最为深刻。“零日攻击是最难防御的,需要尽快的应变。”现在人们正在研究各类新型安全技术——比如通过观察智能电话电量的变化——来试图能够及时发现恶意攻击行为。另外,人的行为不可预测——人心难测,来自企业内部的攻击也十分难于判断、防御。比如人员临时的工作变动,却可能被安全系统判定为异常。

人们常说,网络使得人们无法得知屏幕那一边到底是人还是一条狗。而今,狡猾的恶意攻击者更使得安全防御者们难以发现他们的踪迹。从恶意攻击者的攻击行为模式等方面能够进行一定的分析,获得部分攻击者信息,但要想具体确定攻击者的信息还很困难。

所以要想提前发现恶意威胁,需要在公司内部有专业的安全团队(或者从外界购买相关的安全服务)实时监控公司内部网络情况,及时发现各类异常行为,并通过综合分析,才有可能实现对恶意攻击的提前封堵。

“没有任何一个安全解决方案能够搞定所有的安全问题。”安全解决方案需要根据恶意攻击态势进行及时的调整、演进。而最有效的安全防护方法还是加强人们的安全教育,如果人人都是安全专家恶意攻击者会寸步难行——虽然这仅仅是理想中的情况,但依然可以看出安全意识提升的重要性。


评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");