企業如何提高數據泄露檢測能力?
多年來,企業已經投入大量資源來購買和部署新的安全產品以防止網絡攻擊,但卻沒有對數據泄露檢測投資太多。與此同時,很多企業不得不將IT特別是信息安全資源專注在滿足合規要求上,這也導致企業只有很少的資源來進行數據泄露檢測。
我們在2013年Verizon數據泄露事故調查報告(DBIR)中看到了企業對數據泄露檢測(重要的信息安全功能)的長期疏忽帶來的結果,這份報告指出,幾乎70%的數據泄露事故都是由第三方檢測出的,而不是受害企業。
這個統計數據似乎很糟糕,但更糟糕的是,Verizon還發現,在內部檢測的數據泄露中,通常是由普通用戶發現,而不是IT專家或安全專家。這表明,在企業為事故檢測部署的人員、流程和技術方面肯定存在廣泛的問題。
本文中,我們將討論企業沒有及時檢測數據泄露事故的最主要的原因,以及企業如何提高其數據泄露檢測能力。
數據泄露檢測:為什么這么難?
在大型企業檢測事故通常很困難,基于這些企業的規模以及所使用的設備數量。定義、搜索和識別未經授權活動,正如俗話所說,就像是大海撈針。而在較小型企業,潛在目標的數量可能少得多,但他們卻缺乏人員和資源來進行檢測。
為什么企業難以檢測日益復雜的數據泄露事故呢?Red October惡意活動就是說明這個問題的很好的例子。作為惡意活動的一部分,攻擊者會簡單地通過釣魚攻擊來滲透企業,然后利用Java、微軟Office等中的漏洞。當成功進入企業后,攻擊者會試圖獲取授權用戶的登錄憑證,用來掩蓋自己的行動。通過使用這些技術,他們能夠長期駐留在企業中,竊取敏感信息,同時保持不被發現。對于攻擊面擴大和/或預算緊張的企業而言,發現Red October這樣的惡意活動可能會非常困難。
另外,請記住,在Verizon DBIR中,很多被第三方檢測到的事故本來是可以通過適當部署PCI DSS安全控制來預防,或者通過更密切的監控系統所檢測到的。IT團隊可能只是將重點放在了錯誤的地方,或者預算和人員限制制約了他們應對復雜事故的能力。雖然與檢測掃描網絡或系統的互聯網主機端口是否被非針對性惡意軟件感染相比,檢測數據泄露事故更加困難,但企業和安全專家必須記住,這是一個更有價值的任務,也是值得付出努力的工作。#p#
改善企業網絡監控以盡早發現數據泄露
當涉及數據泄露檢測時,有很多原因可能造成企業的失敗,這意味著并沒有萬能解決方案來解決這個問題,企業必須部署各種安全控制。
作為DBIR的一部分,Verizon推薦使用SANS協會的20個關鍵安全控制,但這份報告還指出,這些是企業應該部署的眾所周知的安全控制。這些SANS控制可以幫助你更有效地利用當前工具來檢測事故。例如,部署配置監控和管理(包括文件完整性檢查)可以幫助檢測出攻擊者在企業網絡內立足所需的偏離行為。系統還可以被設置成類似“只讀文件”的模式,即只寫位置是在網絡設備上;這種配置將有助于使文件完整性檢查更容易地分析數據,因為不會有合法變更日志記錄。另外,檢查在系統上啟動的所有進程,以及調查第一次在系統上運行的可執行文件也可以識別正在進行的攻擊。
NetFlow數據和完整數據包分析的網絡監控也可以幫助識別可疑網絡連接,以便進一步調查。這種監控可以利用異常檢測來發現重要數據被送去調查的新的外部系統。網絡監控還可以幫助企業發現數據泄露的其他潛在指標,包括以下內容:惡意無線接入點、未經授權互聯網連接、流氓撥號連接、連接到其他企業、第三方服務提供商(包括云服務提供商)、未經授權VPN連接、其他加密連接以及其他可能可疑并需要進行調查的外部連接。還可以監控已知惡意IP地址。
下一個步驟是開始追蹤安全事故。對于不同企業而言,對每個事故追蹤的深度和具體細節可能有所不同,但利用一個現有事故信息共享框架是一個良好的開端。一旦開始進行數據收集過程,來自并非由內部檢測的事故的數據可用于分析為什么它們沒有被內部檢測到。這可以作為根本原因分析的一部分,以確定哪些安全控制失效以及如何防止漏洞在未來被利用。隨著企業改善其事故響應過程,擴展數據收集作為響應的一部分,他們會發現可用于檢測和預防這種事故的新控制。
具有嚴格安全要求的企業應該投入大量資源到專門負責事故響應的個人(或者甚至是團隊)。這個人應該專注于事故響應、分析事故數據以及發現可用于預防事故、控制事故影響或縮短事故檢測時間的安全控制,而不需要承擔其他日常監控責任。對于其他潛在防御方案,企業可以部署類似用于APT攻擊檢測的戰略,這需要仔細監控企業的網絡和系統。例如,Verizon在其DBIR數據集中增加了更多間諜活動有關的事事故,部分因為監控IOC下屬團體的有效性,這支持在企業網絡使用IOC。在所謂的APT攻擊和DBIR分析的常見攻擊之間存在差異性,但這種差異正在減小。為了執行這種監控,企業可以檢查其系統中是否存在Mandiant在其APT1報告中發現的IOC,該報告數據來自信息共享和分析中心(ISAC)或其他可信機構。
通過增加幾種新的監控,用戶隱私可能會受到顯著影響,因此,企業應該告知用戶其活動正受到監控,并確保采取適當的步驟來保護用戶隱私。企業可能不想提供關于監控目標的具體細節,這樣一來,攻擊者可能需要作出更多努力來確定究竟哪些正受到監控。保護收集的用戶數據也應該是優先事項,可能通過向高管報告監控工作的進展以及隱私如何受到保護來實現。
總結
由于攻擊者正在不斷進步,安全事故檢測方法也需要跟上其步伐,雖然事故預防能力還有所欠缺。企業可以增加用于事故檢測的資源,并找出檢測和防止未來事故的最有效的控制。很顯然,只是遵守標準合規要求并不足以保護企業免受高級攻擊者的威脅。
