摩根士丹利、塔吉特、索尼,近年来频频遭受针对全球私人公司的网络攻击。尤其是后两家公司,其CEO因此而被迫辞职。网络攻击变得愈发复杂,也更具有破坏性,专门针对公司认为最重要的事项:客户数据、知识财产和商业信誉。
网络攻击频发,加上国防、执法和军事承包商网络被攻破,揭示出过去20年我们在网络安全方面的工作很大程度上是失败的,修复工作不仅需要安全官员的和IT团队的高度关注,也需要引起董事会和CEO的重视。
公司需要采取新的策略,而通过黑客的视角洞观自身,有助于公司实现这一策略。在军事上,这被称为“扭转局势”。关键的一点就是公司需了解敌人的想法,看清敌人的行动和形势,以预计敌人的下一步动作,并做好万全的准备。
不幸的是,具有这种思维模式的公司太少了。尽管公司每年花费数十亿美元购买最新的安全产品,聘请最棒的安全工程师和分析师,但公司却变得比以往更加不堪一击。两种趋势造就了这一现象:企业IT架构的快速收敛以及日益复杂的敌人的迅速扩增。
过去十年,企业信息技术经历了种种变更,这表明现在每家公司都成为了技术公司。截至这10年末,将产生500亿与互联网、复杂网络及生成数拍子节数据有关的设备。此外,云革命最终突破了防御带—享有“基础架构即服务”的公司必须依靠其直接控制范围之外的网络和系统的安全性。
由于流动性、物联网和云计算改变了公司,敌人也变得越来越复杂。国家和州资助的实体通常采用军事策略和能力来暗中监视和攻击私人公司。由于难以归因,威慑力不确定,且攻击者需要一次就成功、不得失败,而防御者必须次次都成功,这使得这些实体在享有结构性防御优势的系统中采取此类行动。
大多数公司试图通过解析噪音信号来解决这一混乱的局面。它们为其最宝贵的资产建造了坚固的堡垒,但是,当普通大学生拥有7个IP接入设备时,这些防御带就形同虚设。当恶意网络与之前的不良事件匹配时,公司依靠自动报警系统获知这一信息,但该方法对新发生的和之前未知的威胁熟视无睹,这给公司发出了危险信号,使公司倍受打击。
对此有着太多的争议,而无从应对。例如,安全分析师在一天内可能目睹上千起安全事件,但时间和资源使其仅能对其中的部分进行调查。这就是为什么即使外围网络设备已检测到恶意程序,但黑客仍能从塔吉特公司泄漏4000多万张信用卡号的原因;这也是为什么内曼·马库斯在其系统生成恶意程序警报逾60天后会遭到黑客攻击的原因;这也是为什么索尼在其IT团队得知公司已受到两年攻击后会遭受黑客攻击的原因。
为扭转局势,高管团队应更加了解公司,为不可避免的网络攻击做好万全的准备。大多数公司从黑客的角度看到了如下情况:
公司安全绝大多数依靠常见的恶意软件检测和无精确指导的自动威胁防护。
对于网络的具体内容、其所使用的云设备、设备上运行的应用程序以及供应链和合作伙伴的安全态势,公司未能有个全面的了解。其IT和安全团队的关注点仅体现在外围、成本管理等方面,而非支持核心业务的卓越中心。
总之,公司的安全策略是被动应对,而非主动防御。
上述各要点就是攻击者可以利用的公司弱点。这就是为什么公司在确定如何防御时应从攻击者的角度进行洞观的原因。下面将介绍公司应如何进行防御。
了解您的主要风险以及敌人如何利用这些风险
如果安全可以计算,则敌人就是分子。公司必须尽最大可能了解特有的威胁情况,仅有通用数据是不够的。有效的安全措施必须结合和解指标(我们是否已经遭到黑客攻击?)、战术、技术和流程(我们是怎样被作为攻击目标的?)、身份情报(谁在攻击我们?为什么?)、弱点情报(我们已由哪些弱点被利用?)和攻击归因(是商品还是作为目标?)。只有关注威胁情报,分析师才能将其宝贵和有价值的时间用于对最重要的事件进行调查,优先考虑与最强大的对手和最大商业风险有关的事项。试图在防御黑客攻击时玩打鼹鼠的游戏,将可能使您疯狂和破产。相反,在对您构成实际风险的安全威胁中,您应当识别最重要的资产和关注最稀缺的资源。
盘点资产并持续监控
如果安全可以计算,则库存就是分母。公司必须以最简单的形式识别和监控其相互关联的资产:开发者是否在您未知的情况下操作了1000个虚拟机?存有您最有价值的数据库服务器上运行的是哪个应用程序?员工是否将新设备与您公司的网络相连?您偏远的子公司是否有了新的合作伙伴?您的HVAC系统是否以某种方式与您的销售终端相连?定期评估、花费数周时间准备的报告以及需要复杂解释的结论,都暴露了安全缺陷。公司必须对资产进行动态、实时的盘点,持续监控,并以简单直观的方式向安全和运营团队呈报。
把安全作为一个使命
目前普遍采用的安全措施关注合规性、控制成本、围绕核心业务并委托首席高管进行。在企业中这样的团队工作,毫无乐趣可言,并将错失与21世纪敌人的交手,这些敌人深知当海盗要比当海军有趣多了。只有人人起来防御,防御才会变得更好。新的安全模式需要有使命感和领导力,以确保我们能有最棒的防御者来抵御最厉害的攻击者。安全工作无法再委托他人进行,安全团队的使命必须与公司的使命相同。
积极主动(而非被动)地捕获网络敌人并及时删除
“积极防御”被戏称为“追踪黑客”的委婉说法,公司采取进攻策略是不明智的做法:首先,未经允许进入他人的网站是非法的;其次,在未处于主导地位的情况下升级软件是不明智的,即使是最大型的公司最终也会错失与国家或州资助的敌人的交手。因此,若您不能在自己的地盘上攻击对方,您可以且逐渐需要在自己的网络中对敌人进行积极防御。这意味着,假设不仅仅是您处于危险地带,您的敌人也深陷其中,您必须搜寻隐秘、持久的敌人,以便在其造成破坏前遏制和修复风险—此举大幅减少了从发生到检测违约事件所需要的时间(目前平均需要200多天)。
在频频遭受毁灭性攻击的时日,哭喊着“天塌了、未来互联网作为商业和通信领域可以信赖的伙伴已岌岌可危”是件很容易的事情。但是,根据近年来的数据点推断互联网行业将会毁灭是错误的。我们中的太多人与此有着太多的利害关系,高管、企业家、软件开发人员、安全团队和投资者联合起来扭转局势,将使我们能够抵御下一代的敌人。
译者 tournesols
