思科的John N. Stewart先生提出了对于防范企业网络威胁的前瞻性策略
信息技术的步伐正在挑战传统观念:到底IT是什么?如今这个时代信息安全是什么概念?举例来说,新的数据中心技术,如虚拟化、软件定义网络[注](SDN[注])、面向服务的交付模型、以及云计算[注]等都已从根本上改变了典型的IT基础设施,即从一组被企业控制和定义的资产,变成了能够在IT部门之间不断往返波动的资源。
这些改变的发生,就如同寒武纪时代爆发了新的网络生活方式:移动设备、平板电脑、传感器、家用电器、监测系统、内容访问设备和无线终端等。在这些设备上运行的应用程序范围从娱乐服务到对我们社会和经济基础设施至关重要的应用功能。以这些设备的增长来推算,我们预计世界设备联网人口的数量将从今天的100亿增长到2020年超过500亿。
从安全的角度来看,这些包括包括网络设备扩张在内的互联网变化,导致攻击面的相应增加。现在IT运维的使命已远非保护大量已知和封闭的IT边界,而是必须准备抵御任何黑客能够创新出来的针对人类网络设备安全的威胁。显然,如果不是扩建到更大的范围,而是仅仅使用已经建立的安全措施将是远远不够的。
简单地说,我们需要另辟蹊径,重新思考网络安全的概念。
一个经典策略和两个新策略
以上这些威胁听起来很势不可挡,因为这些包含了对资产和财产的损害以及对利用信息技术的人们的伤害。然而,我仍然乐观地相信依然有应对的策略。具有讽刺意味的是,其中一些旧的策略又变成新的方法,主要有三点:
做好基本工作
这包括及时对软件进行修补、用户身份管理、网络管理,来消除在你基础设施上的任何黑暗空间。主要目标包括减少可能的黑客攻击面并在适当授权的原则基础之上建立资源访问路径。甚至只是更好的修补都可以减少70%的攻击面。执行资产库存的企业往往惊讶于之前发现了多少接入其网络的非法系统。
这种基于基础的策略听起来可能很普通,但当考虑到如今IT运营必须保障的设备和系统之多样时,这会是非常抢手的。一个汇集了最新的强密码、联合身份、权限管理和异常行为检测技术的复杂身份管理程序,在短短几年前还是不可能实现的。但它能改善安全团队预防、预见安全事故的能力。
营造假象
有很多方法可以做到这一点。你可以通过先改变地址、基础设施拓扑和每天的可用资源,来让你的基础设施成为一个移动的目标。一位活跃分子的虚拟化方法可以建立和彻底清除资源。SDN技术可以将欺诈过程进行虚拟化,同时精简构建安全管理和控制网络结构特性的过程。简而言之,尽你所能地防止对手看到两次相同的基础设施。
你还可以在你网络上设定蜜罐和虚假的程序,这能够消耗对手大把的时间,把他们的关注点从真正的资产数据中转移出来,诱使他们进入伪造的知识产权,或让他们跌跌绊绊撞到警报,来告知你他们正存在于你的领域。最先进的是,这些技术可以动摇对手的信心及攻击能力,增加他们畏惧被抓获、暴露和被起诉的焦虑感。
