最近�����,有件事情讓我感到無比興奮���,這就是終于搞到了一份萬眾矚目的Verizon2013年數(shù)據(jù)泄漏調(diào)查報告(DBIR)�����。實際上��,我早就發(fā)現(xiàn)這份按年發(fā)布的報告非常有價值��。今年已經(jīng)是該報告發(fā)布的第6個版本了����,其中涉及到的具體內(nèi)容包括了621起獲得證實的數(shù)據(jù)泄露事故以及超過47000起提交報告的安全事件���。為了完成今年的報告����,全球范圍內(nèi)的18家機構(gòu)付出了巨大努力。盡管這份報告長達63頁����,但基本內(nèi)容依然非常適于閱讀;這讓我不得不承認,韋德·貝克以及該公司確實完成了一項非常出色的工作�。由于我非常喜歡該報告采用的基調(diào),結(jié)果導(dǎo)致在進行閱讀時多次笑出聲來(通常情況下����,笑聲與信息安全是不會在同一時刻出現(xiàn)的)。這份報告引用了大量非常出色的內(nèi)容����,從美國全國汽車比賽協(xié)會到傳奇嘻哈說唱歌手大個小子以及另類搖滾樂隊暴力妖姬等等不一而足。今年���,該報告中給出的最新準(zhǔn)則就是:“認清敵人'才是實現(xiàn)有效防御與處理的關(guān)鍵所在���。”對此,我有幾點個人看法:
公司需要將關(guān)注重點放在對手是如何答復(fù)客戶提出的問題上����。說起來����,對手究竟會是誰呢?畢竟�,對于弗里斯特調(diào)查公司的客戶來說,這就屬于一個經(jīng)常會遇到的問題�。不久之前�,曼迪安特公司發(fā)布的高級持續(xù)性威脅一號(APT1)報告就激起了公眾針對國家贊助攻擊者這一問題的大量爭論;現(xiàn)在,Verizon的數(shù)據(jù)與分析則給了大家深入觀察這類威脅制造者的更多不同角度�。實際上,該報告在第一張圖表中就列出了威脅制造者以及相關(guān)組織的概況�。由于它采用的是基于總體的鳥瞰視角,因此我個人建議公司就應(yīng)當(dāng)將執(zhí)行層的所有相關(guān)人員都召集進來��。實際上�,由于這種針對威脅制造者進行概要分析是由第三方開展的,往往就可以讓很多讀者都產(chǎn)生出深刻的共鳴來�����。
此外�����,該報告還打破了目前相當(dāng)普遍的一種錯誤認識。這就是:“本公司的規(guī)模實在是太小了��,不至于成為攻擊者關(guān)注的目標(biāo)”����。在報告中,Verizon 是這么寫的:“我們發(fā)現(xiàn)���,從巨型跨國公司到甚至連IT技術(shù)方面專門人員都沒有的微型企業(yè)中都出現(xiàn)過受害者的身影”����。從文章下面給出的圖表中�����,大家可以發(fā)現(xiàn)很多員工總數(shù)小于1000甚至100的公司都成為了間諜攻擊的受害者����。該圖表還顯示出工業(yè)間諜所攻擊目標(biāo)的主要類型。具體來說�,制造業(yè)、交通運輸業(yè)以及信息業(yè)都已經(jīng)成為有針對性專業(yè)間諜活動的重災(zāi)區(qū)�。如果對垂直行業(yè)的相關(guān)情況感興趣,也可以利用北美產(chǎn)業(yè)分類體系(NAICS)來進行詳細查詢�。
在防范網(wǎng)絡(luò)釣魚攻擊方面���,我們所做的工作實際上非常糟糕。在報告中��,Verizon是這么總結(jié)的:“在所有攻擊中�����,有超過95%的都屬于和國家贊助間諜活動相關(guān)的情況;而為了在受害者系統(tǒng)中建立起立足點來����,網(wǎng)絡(luò)釣魚就成為了一種非常有效的攻擊手段”�。目前,針對網(wǎng)絡(luò)釣魚類威脅的防范�,傳統(tǒng)電子郵件以及網(wǎng)絡(luò)安全廠商的實際表現(xiàn)非常差勁。由于現(xiàn)有廠商無法解決當(dāng)前面臨的威脅����,這就給火眼之類新興公司的進入以及消滅威脅的嘗試創(chuàng)造出極佳機會來。當(dāng)然����,我們也已經(jīng)看到,傳統(tǒng)安全廠商正致力于開發(fā)并部署類似火眼的自有項目了�����。不過,這些解決方案并沒有包含新技術(shù);毫無疑問�,Verizon提供的數(shù)據(jù)資料中就包括有幾家已經(jīng)部署過上述“反高級持續(xù)性威脅”解決方案的受害者。
此外�����,針對網(wǎng)絡(luò)釣魚攻擊在間諜活動中泛濫的現(xiàn)實情況����,火眼也在最新發(fā)布的威脅報告中作出了證實。該公司發(fā)現(xiàn)�����,在APT攻擊中�����,網(wǎng)絡(luò)釣魚已經(jīng)成為使用的最主要手段�����。僅在2012年第1季度,這項數(shù)字就上升了56% ���。
在明年的報告中����,我想看到哪些方面的新內(nèi)容���。就個人而言����,我希望能夠看到Verizon擺脫由第三方提供違規(guī)行為以及事故的做法�。除了使用自有的攻擊參與者定義以外,我尤其希望看到利用第三方網(wǎng)絡(luò)的外部威脅制造者對于公司造成損失情況的具體數(shù)據(jù)���。舉例來說�,我非常想知道��,公司因為將外聯(lián)網(wǎng)連接提供給供應(yīng)鏈合作伙伴�,結(jié)果遭到侵入而蒙受損失的情況到底有多少���。畢竟����,對于弗里斯特調(diào)查公司的廣大客戶來說,風(fēng)險中涉及到第三方的情況就屬于最受關(guān)注的問題�����。
這究竟意味著什么��。如果貴公司屬于間諜活動的潛在目標(biāo)��,反網(wǎng)絡(luò)釣魚就應(yīng)當(dāng)成為安全投資方面的一個關(guān)鍵項目���。我強烈建議�����,公司在作出購買任何新解決方案的決定之前���,都應(yīng)該利用滲透測試公司提供的專業(yè)服務(wù)來對現(xiàn)有環(huán)境進行網(wǎng)絡(luò)釣魚方面的針對性測試。當(dāng)然���,這項工作也可以由一支內(nèi)部人員組成的特別分隊來完成�。這里的最終目標(biāo)就是了解���,內(nèi)部網(wǎng)絡(luò)中是否已經(jīng)存在有利用已知以及未知漏洞進行攻擊的武器化惡意軟件����。換句話說,公司在部署新安全控制措施之前���,就需要對現(xiàn)有產(chǎn)品進行驗證��。而對于正在進行評估的產(chǎn)品�,公司應(yīng)該利用第三方來進行現(xiàn)場測試���。實際上��,曼迪安特的APT1報告以及DFIR中的各項數(shù)據(jù)就有助于對這些服務(wù)的實際價值進行確認���。相形之下,這些服務(wù)涉及到的費用僅僅只有公司購買新安全控制措施價格的毫微�����,卻能夠為實現(xiàn)最有效保護措施提供極大幫助���。畢竟,沒有公司希望遇到,因為部署的解決方案沒有達到事前要求�,而不得不直接淘汰掉更換新品這樣的尷尬境地。
公司一旦掌握了內(nèi)部存在對于新技術(shù)的實際需求����,就可以采取文章下面列出來的幾種反網(wǎng)絡(luò)釣魚措施:
1)網(wǎng)絡(luò)安全性。在采購基于網(wǎng)絡(luò)的新解決方案之前�,公司應(yīng)該與現(xiàn)有安全供應(yīng)商進行溝通,詢問他們在應(yīng)對這種威脅時會采取的實際措施����。畢竟,最佳解決方案還是僅僅在現(xiàn)有安全組合中加入一項新功能就達到防范的目標(biāo)��。但如果現(xiàn)有供應(yīng)商更關(guān)注改進版反惡意軟件與高級持續(xù)性威脅功能的推銷���,公司就應(yīng)當(dāng)斷然表示拒絕��,并指出不會再為已經(jīng)沒有實際效果的傳統(tǒng)模式以及新能力同時付費����。畢竟�,可擴展性、全局部署以及SSL檢驗會讓這類控件的使用變得非常復(fù)雜��,F(xiàn)今,幾乎所有的網(wǎng)絡(luò)安全供應(yīng)商都非常重視該領(lǐng)域的客戶�����。
2)網(wǎng)絡(luò)可見度�����。此外���,公司還應(yīng)該在現(xiàn)有環(huán)境中部署一套網(wǎng)絡(luò)分析與可見度(NAV)解決方案��。這樣的話�����,如果意料之中的預(yù)防性控制措施失效出現(xiàn)時��,就能夠啟用依然可靠的檢測控制����。實際上�,對于交付、指揮與控制之類項目��,這些解決方案能夠與滲出一樣進行全面檢測�����。至于供應(yīng)商能夠提供的解決方案����,則包括有:Damballa、索萊拉網(wǎng)絡(luò)�����、RSA的Netwitness以及Lancope的Stealthwatch�����。
3)終端安全����。為了確保網(wǎng)絡(luò)足夠安全,公司不應(yīng)當(dāng)單單依靠基于已知惡意代碼檢測模式的控件�����。除此之外�,公司還需要部署利用主機來對惡意代碼進行檢測的新型終端解決方案�����。這些類型的解決方案包括有:RSA的惡意軟件情報計劃ECAT��、SourceFire的云安全解決方案FireAMP���、Trusteer的網(wǎng)絡(luò)犯罪防范解決方案以及Bit9的企業(yè)級白名單解決方案。還有其它兩種選擇就是��,利用虛擬化模式來為終端提供保護的Bromium與Invincea��。當(dāng)然����,對于采用異構(gòu)環(huán)境的巨型公司來說,終端安全解決方案的全面部署就屬于一項非常大的挑戰(zhàn);因此����,正確的做法就是從小處入手慢慢進行擴展,依靠全系統(tǒng)的運營過程達到將解決方案逐步普及的目標(biāo)���。此時�,公司就應(yīng)當(dāng)選擇從高價值團隊(上層管理人員以及網(wǎng)絡(luò)管理人員)之處開始入手。
請務(wù)必牢記�����,首先要完成的工作就是對現(xiàn)有安全體系進行全面審核�����,然后才是根據(jù)實際需求情況添加必要的額外控件����。而在部署任何安全控件時�����,都應(yīng)當(dāng)采取數(shù)據(jù)集中模式���,確保它們能夠獲得有效的直接控制��,而不至于出現(xiàn)僅僅只是處在邊角位置的錯誤狀態(tài)��。一定不要忘記�����,控件是有可能失效的;因此���,公司必須建立起一支功能全面的事件響應(yīng)團隊來��。
