最近幾個(gè)月在美國(guó)各大機(jī)構(gòu)所發(fā)生的數(shù)據(jù)泄露事件無疑引發(fā)了人們對(duì)于當(dāng)前安全工具的有效性以及應(yīng)對(duì)和處理新興安全威脅的相關(guān)方法的關(guān)注和討論。

　　在過去的十年中，私營(yíng)或公開上市企業(yè)已經(jīng)在加強(qiáng)安全性方面花費(fèi)了數(shù)百億美元，然而，惡意攻擊者們依然一直能夠通過各種方式成功地逃避企業(yè)所設(shè)置的重重安全防范措施。

　　這一趨勢(shì)已經(jīng)使得許多企業(yè)紛紛接受并采用一種回歸到基本的方法：開始將重點(diǎn)放在工作人員、流程和技術(shù)上。而不是把安全功能方面的支出視為企業(yè)經(jīng)營(yíng)的一項(xiàng)麻煩的成本，越來越多的企業(yè)開始將其作為一項(xiàng)大力推動(dòng)的新的戰(zhàn)略舉措。

　　“安全性和產(chǎn)品開發(fā)并不是相互排斥的。” 萬事達(dá)卡的首席信息安全官Ron Green表示說。“我們并不將安全性作為一項(xiàng)孤立的責(zé)任。”

　　相反，萬事達(dá)卡的安全專家們都在與其他專注于身份驗(yàn)證創(chuàng)新業(yè)務(wù)的團(tuán)隊(duì)合作，包括諸如萬事達(dá)實(shí)驗(yàn)室、新興的支付和企業(yè)安全解決方案團(tuán)隊(duì)，Green說。此舉的重點(diǎn)是產(chǎn)品的長(zhǎng)期管理和使用安全，并利用安全提高持卡人的用戶體驗(yàn)。

　　“我們的高管團(tuán)隊(duì)期望我們能夠?qū)踩约{入到我們每一項(xiàng)標(biāo)準(zhǔn)的實(shí)踐中。” Green說。雖然這種做法可能會(huì)增加項(xiàng)目進(jìn)度的時(shí)間成本，但這些成本是值得的。 “安全性已然成為吸引客戶的一大籌碼，而每家企業(yè)都需要為其客戶提供足夠的安全性。”他說。

　　企業(yè)的IT領(lǐng)導(dǎo)們?cè)趹?zhàn)略層面需要從如下五大關(guān)鍵措施入手，以加強(qiáng)安全性。而不同企業(yè)實(shí)施這些措施的方式可能會(huì)因企業(yè)具體的戰(zhàn)術(shù)和操作水平有所不同。但關(guān)鍵的是要把重點(diǎn)放在高層次的目標(biāo)上。

　　1、加強(qiáng)網(wǎng)絡(luò)邊界的保護(hù)

　　周邊技術(shù)，如防病毒工具，防火墻和入侵檢測(cè)系統(tǒng)，長(zhǎng)久以來一直是企業(yè)安全戰(zhàn)略的支柱。這些周邊技術(shù)通過尋找特定的標(biāo)記，或簽名，已知病毒和其它類型的惡意軟件，然后阻止惡意程序。

　　較之其他更多安全產(chǎn)品類別的產(chǎn)品，多年來，公共和私營(yíng)企業(yè)都傾向于在周邊安全工具方面花費(fèi)更多的成本。但分析師們則警告說，對(duì)于保持系統(tǒng)的安全而言，僅僅靠外圍防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。

　　但是，多家大型企業(yè)遭遇嚴(yán)重的數(shù)據(jù)泄露事故的殘酷現(xiàn)實(shí)已然表明，基于簽名的周邊安全工具對(duì)于應(yīng)對(duì)現(xiàn)如今惡意黑客所采用的有高度針對(duì)性的攻擊行為是無效的。少數(shù)企業(yè)似乎準(zhǔn)備完全放棄周邊安全技術(shù)，而仍有許多企業(yè)堅(jiān)持認(rèn)為這些工具對(duì)于防止惡意軟件發(fā)揮了重要作用。盡管如此，將周邊安全技術(shù)作為唯一的，甚至是主要的防線是不夠的，IBM安全研究員Marco Pistoia說。

　　“一系列的網(wǎng)絡(luò)安全攻擊已經(jīng)表明，現(xiàn)在的黑客們能夠繞過幾乎任何類型的物理限制。”Pistoia說。“基于周邊的安全防御技術(shù)仍然是必需的，但這些手段并不足以保證一個(gè)計(jì)算系統(tǒng)的安全性。”

　　從戰(zhàn)略和戰(zhàn)術(shù)的角度來看，企業(yè)將以周邊安全技術(shù)作為安全鏈的必要環(huán)節(jié)之一是很重要的。

　　同樣重要的是模式識(shí)別和預(yù)測(cè)性分析工具，可以幫助企業(yè)建立正常的網(wǎng)絡(luò)活動(dòng)的基準(zhǔn)，然后找出行為偏差。正如在需要網(wǎng)絡(luò)防火墻以阻止已知的安全威脅一樣，企業(yè)也同樣需要Web應(yīng)用程序防火墻來防御那些設(shè)法突破周邊安全工具的惡意軟件，位于加州的法律公司Fenwick & West的CIO Matt Kesner表示說。

　　“在技術(shù)方面，我們?nèi)匀辉诨ㄙM(fèi)時(shí)間和金錢在周邊外圍方面。”Kesner說。但已然不再僅僅盯住更多在網(wǎng)絡(luò)邊緣基于簽名的攔截功能，Kesner已經(jīng)在網(wǎng)絡(luò)的各個(gè)層面建立了冗余惡意軟件攔截系統(tǒng)和防火墻，包括在該公司W(wǎng)eb應(yīng)用程序服務(wù)器的前面。Fenwick & West公司使用日志事件協(xié)調(diào)系統(tǒng)，使IT能夠從網(wǎng)絡(luò)上的所有設(shè)備聚合、關(guān)聯(lián)和分析日志記錄和規(guī)則信息。

　　Kesner還部署了幾款來自利基供應(yīng)商的產(chǎn)品，以實(shí)現(xiàn)諸如搜索可疑特權(quán)升級(jí)和尋找隱藏極深的網(wǎng)絡(luò)入侵者的證據(jù)等特殊功能。“我們花了大量的時(shí)間，以確保周邊安全技術(shù)能夠符合我們的預(yù)期。”Kesner說。“我們假設(shè)漏洞違規(guī)行為必然會(huì)發(fā)生，并希望能夠更好地對(duì)其進(jìn)行防范。”

　　最近幾年已經(jīng)發(fā)展出了一類專業(yè)化的新產(chǎn)品的特點(diǎn)就是所謂的“殺鏈”工具?？蓮闹T如Palo Alto Networks這樣的供應(yīng)商處購(gòu)買，這些系統(tǒng)不僅能夠幫助企業(yè)尋找惡意軟件;同時(shí)還能夠監(jiān)視黑客如何利用惡意程序進(jìn)入網(wǎng)絡(luò)，而這些信息最終幫助企業(yè)用戶消除安全威脅。

　　許多工具都是基于個(gè)別黑客和黑客團(tuán)體通常使用相同的惡意軟件工具，并在攻擊目標(biāo)時(shí)，會(huì)遵循一套模式的前提。因此，通過確定安全攻擊背后的個(gè)體或者黑客團(tuán)隊(duì)，企業(yè)防御特定工具以及攻擊手段就會(huì)變得更容易。

　　2、建立檢測(cè)和響應(yīng)能力

　　現(xiàn)如今絕大多數(shù)針對(duì)企業(yè)的攻擊都是由犯罪團(tuán)伙或國(guó)家作為背后支持者針對(duì)性的策劃進(jìn)行的。過去的那些隨機(jī)性的，漫無目標(biāo)的攻擊活動(dòng)都已經(jīng)由經(jīng)過精心設(shè)計(jì)，以獲取企業(yè)信息、知識(shí)產(chǎn)權(quán)、商業(yè)秘密和財(cái)務(wù)數(shù)據(jù)為目的的攻擊所取代了。相較于以往那種哪痛醫(yī)哪的思路，如今企業(yè)應(yīng)當(dāng)高度重視那些表現(xiàn)得非常低調(diào)，而且傾向于一點(diǎn)點(diǎn)慢慢獲取數(shù)據(jù)的攻擊行為。事實(shí)上這幫黑客變得極有耐心，他們可以拿出很長(zhǎng)時(shí)間逐漸拼湊出自己想要的信息。

　　在這樣的環(huán)境中，任何安全策略都應(yīng)該盡可能多地強(qiáng)調(diào)將檢測(cè)和響應(yīng)納入到預(yù)防中。

　　“基于靜態(tài)規(guī)則和簽名的預(yù)防工具無法阻止確定的先進(jìn)的攻擊。”EMC安全部門RSA技術(shù)解決方案主管Rob Sadowski說。因此，重要的是，優(yōu)先考慮早期檢測(cè)和響應(yīng)，以確保黑客入侵不會(huì)導(dǎo)致業(yè)務(wù)受損或商業(yè)損失，他說。

　　為了推動(dòng)這種變化，IT領(lǐng)導(dǎo)者們需要使用能夠在可視性方面提供更多細(xì)粒度的工具，以便他們更多的了解基礎(chǔ)設(shè)施的情況，Sadowski說。

　　這是必要的，例如，增強(qiáng)現(xiàn)有的以日志為中心的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和端點(diǎn)監(jiān)測(cè)技術(shù)，使安全管理員能夠獲得對(duì)于攻擊者活動(dòng)的更全面的了解。

　　在發(fā)現(xiàn)和限制由憑據(jù)和身份所造成損害的影響方面，利用身份管理，身份治理和行為分析工具，也同樣重要，Sadowski指出。

　　萬事達(dá)卡的Green說，企業(yè)需要采取一種多層的方法來確保安全。“如果你企業(yè)只是尋找一種方法，可能不能涵蓋所有需求。”他認(rèn)為企業(yè)過于依賴于基于簽名的周邊安全技術(shù)。

　　這種多層方法應(yīng)包括防范內(nèi)部攻擊，而不僅僅是防御外部攻擊的手段。“企業(yè)內(nèi)部的安全威脅往往更具挑戰(zhàn)性，” Green說。“所以，企業(yè)應(yīng)該有套強(qiáng)大的和分層的安全計(jì)劃，能夠解決企業(yè)內(nèi)部和外部的安全威脅，并允許您在問題出現(xiàn)的情況下，快速識(shí)別并解決。”

　　3、安全代碼開發(fā)

　　脆弱而易受攻擊的Web網(wǎng)絡(luò)應(yīng)用程序經(jīng)常會(huì)為黑客提供對(duì)于企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)相對(duì)容易的訪問，所以確保這些網(wǎng)絡(luò)應(yīng)用程序的安全是至關(guān)重要的，進(jìn)而才能確保數(shù)據(jù)的完整性和保密性。

　　常見的、易于理解的不足之處，如SQL注入錯(cuò)誤、跨站點(diǎn)腳本缺陷、失效的驗(yàn)證和會(huì)話管理功能都難倒了許多企業(yè)。但最近一波主要針對(duì)大型企業(yè)的黑客入侵組織真正推動(dòng)了對(duì)于安全代碼的需要。

　　“如果你企業(yè)正在開發(fā)一款應(yīng)用程序，隨之需要考慮的便是安全方面的期望。” Green說。“當(dāng)涉及到安全和隱私保護(hù)時(shí)，您肯定希望從供應(yīng)商那里購(gòu)買的技術(shù)都是他們最頂尖的巔峰技術(shù)。”這同樣也適用于供應(yīng)鏈合作伙伴和產(chǎn)品服務(wù)的其他供應(yīng)商，他補(bǔ)充道。

　　硬化的計(jì)算系統(tǒng)的軟件組件是特別棘手的，因?yàn)槁┒纯梢员磺短自诖a深處， IBM的Pistoia說。為了防止應(yīng)用程序被攻擊，從而維護(hù)數(shù)據(jù)的完整性，企業(yè)必須讓安全管理成為軟件生命周期的所有階段的一部分，而適當(dāng)?shù)拇a審查的做法也需要到位，他說。

　　對(duì)于許多大型企業(yè)而言，手工進(jìn)行代碼審查的成本將是非常昂貴的。所以一個(gè)可行的選擇方案將是采用自動(dòng)的方法，通過將靜態(tài)和動(dòng)態(tài)程序分析相結(jié)合，并讓代碼分析處理成為應(yīng)用程序開發(fā)的一個(gè)組成部分。

　　“高級(jí)應(yīng)用程序開發(fā)系統(tǒng)現(xiàn)在可以在每次提交或基于一定的周期進(jìn)行應(yīng)用程序的代碼檢查。” Pistoia說。其向應(yīng)用程序開發(fā)人員們顯示了需要進(jìn)行簡(jiǎn)潔修復(fù)和易于遵循的步驟，他補(bǔ)充道。

　　“應(yīng)用層已經(jīng)成為網(wǎng)絡(luò)安全最新的戰(zhàn)場(chǎng)，其不僅僅是安全團(tuán)隊(duì)的焦點(diǎn)，同時(shí)也是企業(yè)系統(tǒng)開發(fā)生命周期團(tuán)隊(duì)所關(guān)注的重點(diǎn)。”在線發(fā)票和支付平臺(tái)供應(yīng)商Viewpost公司的總顧問和首席安全官Chris Pierson表示說。

　　將重點(diǎn)聚焦在靜態(tài)和動(dòng)態(tài)代碼審查已經(jīng)成為更多的產(chǎn)品開發(fā)管道，他補(bǔ)充說，IT專業(yè)人員更注重的開放Web應(yīng)用安全項(xiàng)目的前10大安全隱患。

　　重要的是，越來越多地采用DevOps方法給一些機(jī)構(gòu)帶來了在軟件開發(fā)生命周期的早期階段集成安全性的契機(jī)。“安全性是推動(dòng)DevOps采用的一個(gè)很大的因素。” 信息安全專家兼DevOps.com網(wǎng)站主編Alan Shimel說。

　　開發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)必須認(rèn)識(shí)到，安全必須是他們共同的責(zé)任，并需要在產(chǎn)品生命周期的早期，進(jìn)行整合控制。它需要更經(jīng)常比現(xiàn)在發(fā)生了什么事情發(fā)生，他說。 “我們?nèi)匀惶幵谛枰f服大多數(shù)企業(yè)的安全團(tuán)隊(duì)DevOps可以有助于提升安全性的階段。”Shimel說。

　　4、關(guān)注人為因素

　　近年來，許多最大的攻擊在其最初都是相當(dāng)無害的，隨著??攻擊者逐步進(jìn)入網(wǎng)絡(luò)，使用合法用戶，如員工，商業(yè)伙伴或供應(yīng)商的登錄憑據(jù)進(jìn)入網(wǎng)絡(luò)。黑客利用社會(huì)工程技術(shù)和釣魚電子郵件盜取屬于別人的用戶名和密碼，進(jìn)而訪問企業(yè)網(wǎng)絡(luò)，然后借助該最初的立足點(diǎn)查找和訪問關(guān)鍵的企業(yè)系統(tǒng)和數(shù)據(jù)存儲(chǔ)。

　　這一戰(zhàn)術(shù)曾被入侵者用來攻擊過的目標(biāo)包括：Target、Home Depot、美國(guó)人事管理辦公室及其他網(wǎng)站。這些機(jī)構(gòu)現(xiàn)在已經(jīng)把注意力集中在了對(duì)員工和其他授權(quán)用戶需要更多地了解安全風(fēng)險(xiǎn)和培訓(xùn)方面，以確保用戶能夠識(shí)別和抵抗?jié)撛谕{。

　　“企業(yè)員工真的需要明白自己在保護(hù)公司資產(chǎn)中所發(fā)揮的作用”萬事達(dá)卡的Green說。

　　在許多情況下，對(duì)企業(yè)數(shù)據(jù)有訪問權(quán)限的員工用戶并不覺得個(gè)人有義務(wù)保護(hù)對(duì)數(shù)據(jù)的訪問。為了鼓勵(lì)這樣的用戶接受一些維護(hù)企業(yè)系統(tǒng)的責(zé)任，Green說萬事達(dá)卡公司采用的政策是“構(gòu)建學(xué)習(xí)文化，以便我們可以定期教育員工，讓他們了解如何保護(hù)我們的資產(chǎn)更安全，特別是當(dāng)新的威脅出現(xiàn)時(shí)。”

　　作為這方面努力的一部分，萬事達(dá)卡結(jié)合了傳統(tǒng)的訓(xùn)練方法和Green所謂的“寓教于樂的方法”來傳遞重要的信息。“因?yàn)榉缸锓肿涌偸窃絹碓铰斆?，我們必須在加?qiáng)保護(hù)的意識(shí)方面必須領(lǐng)先他們一步。”他說。這個(gè)想法是為了給員工留下深刻印象：他們是安全團(tuán)隊(duì)的一部分，即使他們可能不會(huì)向安全團(tuán)隊(duì)報(bào)告工作。

　　“正因?yàn)槿绱?，現(xiàn)在已出現(xiàn)了創(chuàng)造性的方式來加強(qiáng)我們的安全。”Green說，并介紹了一項(xiàng)安全倡議呼吁保護(hù)持卡人數(shù)據(jù)，成為安全網(wǎng)，該安全倡議是由萬事達(dá)卡于去年十月發(fā)起的。

　　5、保護(hù)您的業(yè)務(wù)流程

　　一家擁有最好的安全技術(shù)的企業(yè)，仍然可能會(huì)被壞的實(shí)踐操作方法和流程所絆倒。這就是為什么Fenwick & West的IT部門會(huì)實(shí)施Kesner所說的針對(duì)企業(yè)涉及敏感數(shù)據(jù)處理的政策和過程需要進(jìn)行相關(guān)大大小小的改變的原因了。

　　例如，在過去，這家法律公司的政策是盡可能采取加密傳入和傳出的客戶端數(shù)據(jù)的方法。而現(xiàn)在，這已經(jīng)是一項(xiàng)絕對(duì)的要求。Kesner的團(tuán)隊(duì)還實(shí)施了新政策，以確保對(duì)公司存儲(chǔ)區(qū)域網(wǎng)絡(luò)的數(shù)據(jù)是加密的，而且在傳輸過程中也是加密的。所有公司的筆記本電腦和臺(tái)式機(jī)的敏感數(shù)據(jù)均是加密的，IT每六個(gè)月運(yùn)行審計(jì)和測(cè)試，以驗(yàn)證這些加密。

　　該法律公司有第三方和安全公司定期來做滲透測(cè)試和模擬攻擊，而且沒有什么禁區(qū)限制。“有了適當(dāng)?shù)谋Ｃ軈f(xié)議，我們可以讓安全工程師針對(duì)每件事情執(zhí)行滲透測(cè)試。”Kesner說。之后，IT團(tuán)隊(duì)要求安全服務(wù)公司給出一份名單，詳細(xì)列出他們需要在實(shí)際的安全政策方面需要改革的五項(xiàng)變化。

　　Fenwick & West公司現(xiàn)在要求所有的合作伙伴，以書面披露他們的安全實(shí)踐的完整細(xì)節(jié)，并承認(rèn)他們了解法律公司的安全政策和流程。合作伙伴必須實(shí)施雙因素身份驗(yàn)證，不再允許使用用戶名和密碼到Fenwick網(wǎng)絡(luò)進(jìn)行驗(yàn)證。

　　各種各樣的企業(yè)都在采取類似的方法。網(wǎng)絡(luò)安全是一項(xiàng)首要任務(wù)，而企業(yè)領(lǐng)導(dǎo)團(tuán)隊(duì)和董事會(huì)也承認(rèn)這一事實(shí)。“企業(yè)董事會(huì)希望和要求了解公司的網(wǎng)絡(luò)安全的立場(chǎng)是從控制、治理和運(yùn)營(yíng)的角度來看的。”Viewpost的Pierson說。

　　“如果你想吸引并留住客戶的信任，安全和隱私必須成為你企業(yè)的文化和價(jià)值主張。”