6 views

大多数公司缩短企业安全的六种方式

By | 2019年1月29日

我最近与Zscaler安全研究副总裁兼Zscaler ThreatLabZ负责人Michael Sutton进行了对话。我们谈到了许多组织今天在抵御当前威胁,特别是更危险的高级持续性威胁方面的不足之处。我已经列出了Sutton今天在大多数公司中看到的六个常见缺点。1. 未能与现代技术和技术保持同步。

许多公司继续做他们一直以来为保护他们的IT系统所做的事情,但这对于今天的安全领域来说还不够。“当我们看一下普通公司时,他们今天真的在做五年甚至十年前所做的事情。他们没有真正提升他们的安全保护,“萨顿说。“有两种主要产品已成为常态,几乎100%渗透,这将是基于主机的反病毒和基于设备的URL过滤。这肯定会抓住许多低成果,但它绝对不会捕捉到更高级的威胁。“

Sutton表示,在过去几年中,IT安全领域发生了巨大变化,那些继续仅依赖防病毒和URL过滤的公司面临风险,因为现代威胁可以轻易地抵御这些防御。

2. 没有全面的方法来保护移动和“网络外”世界。

近年来,劳动力流动性发生了巨大变化。如今,典型的员工在外部工作,并使用移动设备检查电子邮件和访问应用程序。移动设备是一个与传统网络连接设备截然不同的生态系统,无法以相同的方式进行防御。“现在我有了这款永远在线的设备,”萨顿说。“由于屏幕空间较小,我无法访问之前使用过的一些控件。例如,网络钓鱼攻击可以更容易,因为我没有看到URL栏或我正在查看的应用程序中的Web内容没有与浏览器相同的控件级别。我们有这种完全不同的方式通过应用程序商店分发软件。从理论上讲,这应该会使事情变得更加安全,因为有一个看门人在应用程序出局之前就会对其进行祝福。我们在官方应用商店中看不到很多恶意软件,但我们在非官方应用商店中看到了大量恶意内容。即使在官方应用程序商店中,我们也会看到很多编码不佳的应用程序,这些应用程序易受攻击或存在隐私问 移动仍然相当不成熟,它还有很长的路要走。“

Sutton表示,由于移动性,全球知名度变得越来越难。当他与公司谈话并询问他们如何跟踪智能手机和平板电脑上的用户以及在笔记本电脑上使用星巴克的用户的流量和模式时,答案几乎普遍是他们无法捕获那些流量。这是一个巨大的薄弱环节。

3. 使用不同的安全技术而不关联它们的细节。

对大多数企业而言,检测事件的可见性是一个巨大的弱点。安全行业实际上是一堆完全不同的技术。公司购买来自不同供应商的最佳解决方案,然后无法关联和分析来自这些解决方案的信息。Sutton说,创建SIEM行业是为了将所有这些日志文件拉回到一个位置。“在大多数企业中,我认为并没有真正实现过。他们将整合某些办公室而不是其他办公室,或者他们从一个与另一个不兼容的供应商处获得一些数据。那里没有完美的解决方案,“萨顿说。他补充说:“我们不仅要按地点或技术单独查看报告,这非常重要,因为当我们特别处理有针对性的攻击和高级持续性威胁时,这不是攻击者用霰弹枪开火的。攻击者是狙击手。因此,我的亚特兰大办公室可能会有一点交通流量,而且我的上海办公室会有一些交通堵塞,而且有点撞击约翰内斯堡。只有当我能够看到全面的全局图片时,我才能看到它开始受到关注,因为所有三个被定位的人都是高管,而且他们都是针对类似的东西,这是社会工程攻击。如果我没有全球知名度,我永远不会看到这一点。“ 只有当我能够看到全面的全局图片时,我才能看到它开始受到关注,因为所有三个被定位的人都是高管,而且他们都是针对类似的东西,这是社会工程攻击。如果我没有全球知名度,我永远不会看到这一点。“ 只有当我能够看到全面的全局图片时,我才能看到它开始受到关注,因为所有三个被定位的人都是高管,而且他们都是针对类似的东西,这是社会工程攻击。如果我没有全球知名度,我永远不会看到这一点。“

4. 将大部分企业资源用于预防,忽视检测和修复。

Sutton说,全面的IT安全方法包括预防,检测和修复。大多数公司将预算的90%用于预防,因为他们相信他们应该首先关注阻止或预防攻击。从他在Zscaler实验室的职位来看,Sutton可以看到大多数公司已经在某种程度上受到了感染。“当然,如果可能的话,我们希望在它们影响我们之前保护和防御攻击,但我们绝对不能忽视检测方或修复方,”Sutton说。“我们知道我们会受到一些感染,我们需要尽快限制这种损害并隔离问题并采取适当的补救措施。企业需要采用这一重点。“

Sutton指出,大规模的违规行为证明预防不是一切。“我们已经看到像谷歌和苹果这样的大型科技公司必须向前迈进,说他们受到了感染,有针对性的攻击并且数据被盗。这些公司拥有安全行业中最优秀和最聪明的人才,他们在内部为他们工作。大多数公司甚至不能开始考虑拥有这种预算。如果这些公司正在处理感染问题,那么所有公司都需要认识到他们也需要关注检测方面,“Sutton建议道。

5. 不分析出站流量。

在安检的检测方面,我们需要检查出站流量,Sutton说很多公司都没有这样做。“我们必须接受这样一个事实,即我们将会有受感染的机器,因此我们还必须提供解决方案来寻找出站流量,而不仅仅是试图阻止员工下载恶意软件。建议感染,例如对命令和控制服务器的出站请求。而且这不能仅仅根据已知网站的黑名单进行检查,因为它们会一直在变化。我们需要检查该请求的每个部分,说’我不知道这个请求将在哪里,因为我从未见过该目的地,但这具有僵尸网络的所有特征。我将这样标记并阻止该流量。’“

6。 违规后未能进行取证。

让我们面对现实:违规确实发生了。根据Sutton的说法,当发生违规行为时,重要的是要弄清楚它是如何以及为什么会发生以防止它再次发生,以及弄清楚违规行为可能有多大。他不相信大多数公司都有这些能力。显然,对于像Target最近曝光这样的大规模违规行为,公司会引进像Mandiant或Verizon这样的大型枪支进行取证。较小的违规行为可能无法保证这种反应,但要确切地弄清楚发生了什么仍然很重要。

发表评论

电子邮件地址不会被公开。 必填项已用*标注