安全必须发展
了解了威胁形势的大多数关键方面后,是时候改变我们看待网络安全的方式了。各种各样的恶意软件家族具有持久、隐藏、自我破坏的能力,并可以通过表现得像合法用户一样绕过传统的安全系统,使防御者采用新的安全方法来实现更好的网络态势。在本章中,我们将了解防御者为应对高级威胁和加强网络安全系统而采用的不同方法。
本章将介绍从网络边界到服务器群部署的一些最广泛使用的安全实践。本章还将探讨零信任安全方法和违规接受安全方法。
在本章中,您将了解以下主题:
- 安全生态系统
- 零信任方法
- 假定违约方法
- 基础层的发展
安全生态系统
成千上万的安全机构和安全研究人员夜以继日地工作,以创新和开发有效的解决方案来应对新出现的威胁。组织每年花费数百万美元来增强其安全态势和工具。他们不断研究零日漏洞,建立用于端点保护的人工神经网络 ( ANN ),用于新威胁模型的机器学习模型,建立有效的网络安全事件响应流程和感知计划等。
主要有四类网络攻击预防策略:
- 减少攻击面:大多数组织都有一个定期的流程,从外部和内部进行漏洞扫描,查找不需要的应用程序端口、文件扩展名信息和平台信息。这一持续的安全威胁评估过程有助于他们确定以下问题:
迈克尔·霍华德(微软安全业务部门)、乔恩·平卡斯(微软研究员)和珍妮特·M·温(卡耐基大学计算机科学家)开发了一种方法来测量任何应用程序的攻击面,并跟踪攻击面的每次变化。他们将其命名为相对攻击面商 ( RASQ )。他们的工作受到当今工业面临的实际问题的激励。度量系统间相对安全性的方法受到了 Howard 的相对攻击面的非正式概念的启发。他们在 Howard 最初的 17 个攻击向量的基础上增加了 3 个攻击向量,并展示了 RASQ 对 5 个版本的 Windows 的计算
- 完全可见:一些最流行的勒索软件,如 WannaCry 和 NotPetya,利用基于 SMB 的漏洞来危害终端。尽管 SMB 是一种常用的 Microsoft 协议,但一个完全可见的组织可以区分好的 SMB 行为和坏的 SMB 行为。同样,使用现有的安全系统很难保护各种异常;然而,检测成为揭露此类恶意行为的关键,甚至有助于感染后分析。这种策略还改善了组织的安全状况。
- 防止已知威胁:威瑞森 2017 年数据泄露调查报告发现,99%的恶意软件在威胁行为者修改它之前只出现过一次,在无休止的网络战战场上,它需要防御者和对手双方的参与。虽然高调的网络攻击总是制造爆炸性新闻,并在防范这些攻击方面获得组织的关注,但防火墙和防病毒软件作为网络和终端的第一道防线是必要的。
- 防范未知威胁:在当今先进的威胁和黑客技术下,说您可以百分之百抵御攻击已经成为一个神话。有一些以前从未见过的高级和未知威胁,它们甚至表现得完全像合法用户一样,为了检测和应对这些威胁,组织正在采用新的方法,这些方法具有动态和行为分析、机器学习/深度学习以及攻击者技术、战术和程序 ( TTPs )分析的能力。
除了这些众所周知且高度适应的安全技术之外,一些安全组织和专家正在不断探索新的方法来保护其组织的关键资产免受新出现的威胁。坏消息是,大多数防御者仍然像对待任何其他恶意软件一样对待它们;然而,事实是网络攻击者已经变得更加老练,更有经济动机,本质上也更有耐心。识别它们变得更加复杂,它们手动执行命令和工具(犯罪分子从不在目标更大的情况下冒险),攻击者从多种途径同时渗透网络。
零信任方法
最初由 Forrester 创造的一种被广泛接受的方法是以数据为中心的方法,该方法通过对所有数据和资产实施 always verify 来使用。这是为了克服平面网络问题,这有助于威胁行动者通过横向移动而不被发现,并过滤敏感和机密信息。这种方法还增强了安全专家的能力,使他们能够重新控制自己的网络和应用程序。下面是我们如何开始使用零信任方法:
- 识别和分类敏感数据:为了保护您的数据,查看这些数据至关重要。如果您没有意识到您的敏感数据,在感染后时期,情况可能会变得更糟。一旦识别出敏感数据,就有必要对其进行分类。
- 映射 数据 f low :对整个网络中的应用程序流有一个高层次的理解是很重要的。此外,与包括网络团队、应用团队和安全架构师在内的所有利益相关者协作,利用现有模型准备最终的数据流也是很好的。
-
构建网络:零信任设计展示了多个网络之间的通信流,也说明了用户如何访问外部数据。在此阶段,组织通过物理和虚拟交换机配置确定微边界。
-
创建策略基础:这种方法的一个关键方面是安全专业人员应该在需要知道的基础上限制访问,并建立有效的访问控制。除了了解 IP 报头字段,安全团队还需要了解用户身份以及应用程序行为。
- 持续监控:应实时收集和检查整个网络和应用程序日志,不仅包括来自外部网络的流量,还包括从私有网络流出的流量。内部流量应与外部流量一样对待。
假定违约方法
即使有不断发展的网络攻击预防系统,包括防病毒软件、下一代防病毒软件、防火墙和下一代防火墙,高级威胁仍然设法绕过安全系统。因此,没有一种安全防范技术能够保证完全抵御这种威胁。在过去几年中,组织已经采用了一种称为假设违规的新方法,这是一种测试其事件响应能力的方法。
假设违规思维允许组织对各种安全解决方案和服务持开放态度,如下所示:
- 红队演习:红队演习是渗透测试的增强版,演习由一组高度专业的安全专家执行,不仅仅是为了发现漏洞,也是为了测试组织的检测和事件响应能力。这有助于组织的高级管理层使用战术建议进行即时改进,并使用战略建议进行长期安全状况改进。
- 持续监控:不间断且始终处于活动状态的安全监控系统可实时监控企业网络中的用户及其终端。这有助于我们在感染前阶段识别威胁,并建立更好的事件响应流程,以实现更智能的网络卫生和合规性。大多数组织倾向于将这项服务外包给托管安全服务 ( MSS )提供商,他们通过常用工具跟踪网络、应用程序和用户活动,如安全信息和事件管理 ( SIEM )和端点检测和响应 ( EDR )。
基础层的发展
我们的船结构有漏洞,尽管已经修复,我们只是让这艘更快更智能的船装载越来越多不必要的资源。是时候尝试改变整个船的结构了,看看我们能茁壮成长到什么程度。
网络安全的全部是为了保护运行在 TCP/IP 模型上并使用客户机-服务器数据库结构的计算机网络。修改数据的权力仍然属于中央服务器,它在允许每个客户机访问数据库之前对它们进行身份验证。由于只有一个服务器机构负责监管和维护,因此如果受到影响,整个数据都可能被更改、泄露甚至删除。大多数数据泄露事件基本上都是在云上部署集中式服务器数据库带来的影响和风险。随着我们进入下一章,您将了解如何通过一项名为区块链的最卓越的技术创新来解决这一根本性的关键差距。
摘要
在本章中,您了解了安全专家如何探索网络安全领域的创新。您还了解了一些最有效、最广泛使用的安全方法和心态。最后,我们看了一眼基础层很少被提及的安全挑战。在下一章中,你将学习区块链、积木、工作及其在工业技术中的作用。
问题
安全系统的发展是一个永无止境的过程,它将始终为改进和集成提供空间:
- 采用零信任方法的挑战是什么
- 采用违约假设方法有哪些挑战?
- 为什么到目前为止还没有涵盖集中式数据库风险?
进一步阅读
请考虑以下链接,以便进一步阅读:
- 在https://www.forrester.com/search?N=21061+10001&sort = 3&everything = true&source = browse了解零信任方法。
- 在https://hbr.org/2017/01/the-truth-about-blockchain的 TCP/IP 和区块链。