大數據如何阻止數據泄露
安全威脅正在不斷升級,應對這些安全威脅需要企業信息安全專業人員及其觀念也要“升級”。
我們都知道阻止不良行為者進入你的網絡并不難,我們也都同意,應該對不同的用戶群分配不同的權限級別。同時,我們也都認為,某些系統包含比其他系統更有價值的數據。那么,為什么我們似乎都不能完成這些事情呢?
事實證明,雖然安全概念很容易,但具體部署并不容易,看看最近接連發生的安全泄露事故就知道。索尼、家得寶、Target、Skype和Neiman Marcus等公司都遭到攻擊,醫療保險公司Anthem和Premera也一樣。
數據泄露事故的成本
這些攻擊給企業帶來嚴重影響,這些企業的品牌和聲譽受到影響,消費者的身份和財務數據的隱私性及安全性也遭到破壞。而這些都會讓受影響企業遭受嚴重的財務損失,有些企業可能甚至面臨破產。
零售及金融服務行業并不是唯一面臨風險的行業。在過去的20年中,網絡攻擊已經演變成更先進和更具破壞性的攻擊,有時候還會瞄準關鍵基礎設施。例如,針對伊朗核計劃的攻擊讓我們注意到,網絡不僅受到先進黑客團體的攻擊,也受到民族國家的攻擊。即使是表面無法從外部訪問的系統也可能受到攻擊。面對這個問題,我們不禁會想,IT專業人士發展最快的專業是不是網絡安全?
安全公司IronNet Cybersecurity調查稱,2014年世界各地的公司花費約3640億美元來應對安全泄露事故。這是一個令人驚訝的數字,而且這個數字每年都在增長。
安全泄露事故未被檢測
美國聯邦調查局前局長Robert Mueller在談到當前安全狀態時稱,“只有兩種類型的公司:已經遭受攻擊的公司,即將遭受攻擊的公司。”筆者將后面一部分改為:“已經遭受攻擊的公司,以及還不知道他們已經遭受攻擊的公司,”因為大多數公司沒有足夠的安全監控基礎設施。
例如最近遭受攻擊的醫療保險服務提供商CareFirst公司,安全公司Mandiant在幫助該公司保護其系統時發現了這個攻擊。人們不禁要問,還有多少保險公司和醫療機構不知道他們的安全狀況。
根據2015年Mandiant M-Trends報告顯示,在系統遭受攻擊后,攻擊者在系統中保持不被發現的時間是205天。更糟糕的是,69%的數據泄露事故是由外部實體發現。也就是說,這些公司本身并沒有發現自己已經遭受攻擊。顯然,檢測是一個挑戰。
需要真正的網絡安全領導
直到最近我們才發現這個問題的部分原因,在大多數企業的決策者根本沒有意識到他們所面臨的真正威脅。對于他們來說,網絡安全只是審計報告中的各種復選框,是的,我們有防火墻,是的,我們運行著殺毒軟件,然后就沒有然后了。多年來,“設置后就忘記”是很多企業的做法,而且現在才開始改變。首席信息安全官的職位已經開始普及,這個職位通常擁有與IT運營的CIO[注]相同的運營監督和權威。這種變化正在改變企業處理信息安全的方式。
防火墻和隔離的DMZ已經不再夠用,殺毒軟件或其他傳統保護技術也不再可行。因為,盡管這些標準做法和基本的監控在過去可行,但現在攻擊者會長期潛伏在系統中,竊取敏感數據。不僅檢測是挑戰,防御也是挑戰。
如何防止數據泄露事故
現在很多攻擊都是通過社會工程來執行,例如讓用戶點擊電子郵件中的惡意鏈接,對此,培訓成為防御戰略的重要部分。而我們在這里列出的大多數攻擊都使用有效登錄憑證來執行攻擊,攻擊者未被發現是因為他們在基于角色的訪問控制(RBAC)系統的范圍內進行操作。如果我們固守舊觀念,認為網絡內的威脅沒有外部威脅那么嚴重,那么我們就已經輸了。威脅可能主要來自外部,但在現在的環境中,攻擊者并不會破門而入。
現在處理網絡安全的最好方法之一是獲得對網絡的可視性。如果你只是監控選擇的流量或服務器,或者檢查系統記錄數據,這是遠遠不夠的。我們需要讓網絡可以監控幾乎一切信息,如果你不能看到所有信息,你就無法作出反應。
更高和更實惠的帶寬、更好的交換架構、更強的計算能力、更快和更大的存儲,讓企業的監控工作變得比以往任何時候都更加艱巨。但是現在并不是不可能對網絡中的所有流量進行捕捉和實時分析,以及存儲用于未來分析。當然,你也不可能永遠保存所有這些信息,除非你有無線的政府資助,不過,大部分大型企業還是可以存儲一定的時間。
實時大數據[注]安全分析是高級威脅防御戰略的另一個重要組成部分。按網絡速度捕捉數據是一回事,但如果你依靠人眼來發現威脅和應對,這將無濟于事。而這正是大數據分析的用武之地,大數據分析可以分析非結構化數據,獲取你可能甚至不知道的信息。這也是信息安全歷史的第一次,我們可以進行啟發式安全威脅分析。
當然,我們仍然需要強大的報告引擎和人類監督,不過,企業應該將先進的分析工具作為第一道防線。威脅還會繼續發展,攻擊者還會找到新的攻擊途徑,這意味著,我們也必須迅速發展。
