如今,WannaCry和Petya等蠕虫病毒在全球各地肆虐表明,企业通过更新系统补丁的方式已经远远不能保护其数据中心。
自从计算机时代到来,蠕虫病毒就已经存在。它们是一种没有任何人工干预即可传播的恶意软件——无需点击坏链接或打开受感染的附件。
但是,随着WannaCry和Petya的快速传播,给企业带来的相关费用损失,得到了人们的高度关注。
![]( "蠕虫病毒疯狂肆虐 数据中心当如何防范?")
在 “SQL Slammer” 的蠕虫袭击韩国的互联网服务器之后,工程师检查系统
管理>安全
加利福尼亚安全服务提供商Fortanix公司的联合创始人兼首席执行官Ambuj Kumar表示:“传统的网络日志或行为分析工具可能无法检测到这种感染。企业在一定程度上保持系统补丁有所帮助,但是如果蠕虫利用零日漏洞,那么它们将是无用的。”
DCIM软件中的漏洞
数据中心需要有多个连接到互联网的接入点,但每个点都可能是恶意软件的潜在接入点。
Positive 技术公司网络安全弹性主管Leigh-Anne Galloway表示:“事实表明,如果通过互联网公开发现任何连接的设备或外围软件,它可能会有可能被恶意利用的漏洞。”
她补充说,这其中包括用于管理物理基础设施的设备。而这种病毒技术能够发现数据中心基础设施管理平台的缺点。
她说:“DCIM系统中的漏洞允许网络攻击者远程访问数据中心支持系统(如灭火,备用发电机等)的未加密信息。这能够用来进行有针对性的入侵或更广泛的攻击,并且可能使依赖数据中心的企业很难保护其具有关键功能的业务。”
限制访问
蠕虫病毒可以通过广泛开放的环境快速传播,而不仅仅是分割网络,访问受限,数据被锁定的环境。例如,WannaCry和NotPetya利用了像SMBv1这样的旧文件共享协议。
Gigamon公司的资深安全架构师Simon Gibson说:“如果企业禁用SMBv1,就会减少被感染的机会。他承认,要跟上数据中心的变化是很困难的。
他说:“网络安全的变化的速度是惊人的。大多数公司建立网络,而在部署之前,一些措施已经改变了。重要的是企业要了解他们的网络是如何工作的,他们如何运行的,以及它们是如何联系起来的。然而在病毒爆发时,企业将会了解其风险状况。然而做到这些并不容易”。
此外,Varonis Systems的现场工程副总裁Ken Spinner表示,组织应该跟踪哪些人访问什么数据,这类似于信用卡公司监控欺诈行为的方式。“WannaCry改变了世界,证明安全边界的错觉已经结束了,” “Ransomware是煤矿中的金丝雀,为组织停止并评估他们的数据如何暴露出来。”
限制应用程序
数据中心服务器在桌面计算机上的一个安全优势是它们通常运行一组非常特定的应用程序。任何超出该组件的内容都可以被阻止,而不会损害用户的生产力。
如果一些数据中心运行内部开发的软件,那么这些数据中心将具有额外的优势。
ShiftLeft公司联合创始人兼首席执行官Manish Gupta说,例如,软件即服务提供商可以访问自己的源代码,并可以创建围绕该软件的特定安全需求设计的定制软件代理。他说:“传统的安全解决方案是以威胁为基础的,因为保护应用程序的责任在于客户在其数据中心购买和部署第三方应用程序(如Microsoft Exchange或Oracle CRM)。”但是,如果没有无法访问软件的源代码,数据中心管理人员别无选择,只能将软件视为黑盒,并保护它免受已知病毒的威胁。这意味着新的攻击病毒可以进入。
他说:“采用基于威胁的安全工具继续保护这些SaaS应用程序的传统安全方法,浪费了宝贵的机会来重新思考如何实现安全。”
假设受到攻击
Fortanix公司的Kumar说,没有完美的安全防护措施,所以企业安全领导者需要从攻击者已经进入的假设开始。
“企业需要保持数据安全,即使系统已经感染了,”他说。这包括在运输和空闲时保持数据加密。
他说:“恶意软件或蠕虫可能会尝试通过读取文件或窥探网络流量来转储有价值的信息,但只能获取加密数据。”
另外,还可以使用数据加密的工具,他补充说,这样蠕虫病毒就不能窃听其内存进程。
远离还是监视?企业应该怎样对待暗网
对暗网的监视需要有多紧密?这取决于企业自身的安全能力与风险容忍度。
![]( "远离还是监视?企业应该怎样对待暗网")
最近几个月,很多文章都在讨论深网和暗网。必须指出的是,这两者之间有极大不同。深网通常指的是搜索引擎没有索引的网站,而暗网,则主要由需借助Tor之类软件,或不可见互联网项目(I2P),才访问得到的站点组成。
本文主要讨论的是暗网,也就是新闻媒体描绘为互联网藏污纳垢之地的所在——任何爱惜羽毛的浏览器都不会去访问。
虽然很多暗网网站专职买卖各种非法物品,比如毒品、武器甚至人体器官,我们仍需认识到,也有出于正面或法律原因而使用暗网的情况。比如说,体制下的活动家,就常要使用暗网来进行安全匿名通信。,尤其是对那些因表达自己观点而面临压迫和残害的人而言。
然而,尽管存在某些积极用例,暗网还是更常用于邪恶的目的。比如说,如果数据泄露中有信息被盗,那几乎可以肯定,这些信息必将在暗网上售卖。此类信息的交换——可能包含客户的个人信息、信用卡资料,甚至公司机密数据,正快速成为网络罪犯的一大商机。
因此,企业和安全研究人员有必要关注暗网情况,及时获悉有无与自身直接相关的信息在暗网上交易或讨论。这方面,速度是关键,因为被盗凭证可快速倒手并用于盗取账户。然而,达到此类检测所需的暗网交易可见性,却是说起来容易做起来难。
获得暗网可见性的挑战
与深网类似,暗网也不能被搜索引擎爬取并索引,所以相关数据的查找,并非执行一条搜索引擎查询指令那么简单。暗网用户必须手动识别具有相关信息的暗网节点。
感兴趣的节点被发现后,下一步就是访问节点。这又是一道障碍,因为站点往往不开放,需要用户登录才可以看到内容,且登录不像主流网站那么简单。为获得会员资格,你必须通过相当彻底的审核过程,而这往往需要经由该网站现有可信老会员的引荐。
最后,语言障碍也会成为另一个大挑战。暗网节点运营者使用的语言种类很多,如果他们采用的不是你熟悉的语言,沟通就会成为问题。
即便你成功跨越了上述深沟浅壑,暗网节点运营者也可能出于自身的考虑,而随时撤回你的访问权。比如说,他们可能会封禁疑为司法部门派来监视他们活动的用户。
收集暗网数据
一旦获得暗网节点访问权,下一步就是获得其上数据了。这一步与传统威胁情报收集过程类似,都综合了人的因素和技术因素。针对企业的大多数攻击,通常都涉及账户或身份盗窃,这也是最受欢迎也最有用的信息类型,就是用户凭证或个人可识别信息(PII)。暗网上监视并收集此类数据的典型步骤如下:
1. 解析
往往有大量数据需要被初步解析。这一步可用技术加以自动化,但仍需辅以人工验证。
2. 标准化
解析之后,数据应被标准化,以便在后续过程中能方便地存储和查询。这也是删除重复数据和不相关数据的好时机。
3. 验证
数据标准化和去重过后,来一轮验证过程以确保准确性是很明智的做法。
4. 精炼和丰富
到了这一步,数据已经基本可用了——尽管很多公司会选择进一步精炼并丰富数据,添加可使数据与自家公司和风险概况更为相关的上下文信息。
企业如何保护自身
尽管暗网本身或许不对企业造成威胁,但其上被盗企业数据买卖的增多,也意味着企业越来越有必要找到办法对暗网予以监视了。
对暗网的监视需要有多紧密?这取决于各家公司自身能力与风险胃纳。不过,所有企业都必须遵循同样的基本安全原则和最佳实践:了解自身典型对手是谁,对手的动机是什么,哪种类型的数据是对手感兴趣的。
由于监视和收集暗网数据耗时耗力,将这项工作外包给专业公司就显得很明智了,这些公司可在任何雇员或客户数据被交易时发出警报。
然而,与其他威胁监视类似,仅仅获得对威胁态势的情况性了解,并不是解决方案。企业还需有充分的事件响应与恢复控制措施及规程,以便能在凭证被盗时可以及时恰当地予以响应,最小化攻击造成的影响。
为什么信息安全行业留不住人才?
![]( "为什么信息安全行业留不住人才?")
这听起来有些讽刺,信息安全行业人才最缺的是安全感。
后斯诺登时代,信息安全市场迎来爆发式增长,资本大量涌入,人才炙手可热。根据网络安全培训机构ISC2的一项全球调查统计,到2022年,信息安全人才缺口数量将高达180万人,比2015年的150万人增长20%。
虽然信息安全人才缺口不断扩大,相关人才的培训和教育服务显得极为重要,但是另外一个怪现象却更加引人注目,那就是根据最新的调查,信息安全行业面临的最大问题不是吸引人才,而是留住人才。每年都有大量技术人才逃离信息安全行业,原因是缺乏方向感、过劳、以及包含歧视和骚扰的糟糕文化氛围。
数月前,Endgame的首席社交科学家Andrea Little Limbago调查了300位从业时间超过五年的信息安全专业人士(其中35%是从业超过11年的“老鸟”),发现导致信息安全人才流失的原因主要有三点:
1.缺乏清晰的职业路径
2.压力与透支
3.全行业亟待进行一场文化变革
走入死胡同的信息安全职业道路
超过半数的受访信息安全人才将缺乏职业成长和上升通道作为离开这个行业的首要理由,另有20%的人才将其作为重要理由。根据信息系统安全协会2016年的一个信息安全职场调查报告,65%的受访者表示缺乏明确定义的职业道路(下图)。
![]( "缺乏明确定义的职业道路(")
显然,无论是信息安全企业,还是企业的信息安全部门和人力资源部门,目前普遍面临的问题就是没能给安全技术人才提供一个清晰的职业道路和发展机会。
过劳率居高不下
过劳(38%)和压力(28%)是人才选择离开信息安全行业的另外一个关键原因。而这项调查的数字在那些考虑离开信息安全行业的人群中更高。信息安全行业的工作压力和过劳率居高不下与另外一个统计结果存在关联,那就是28%的受访者表示工作生活平衡非常糟糕。
糟糕的(企业、行业)文化
网络安全和信息安全行业向来存在品牌传播问题,讯息误导失真严重。例如,与大多数人预期的帽衫骚年不同,大多数受访的信息安全人士都是不折不扣的大叔,年龄都在31-40岁之间。与天马行空激情四射不着边的是,这个行业的文化一点也不包容,而且充斥着歧视和性骚扰。
在这个大叔扎堆,男女比例荷尔蒙严重失调的行业,85%的受访女性安全人才表示曾在专业会议上遭受不同程度的歧视,超过半数则汇报曾遭受不同程度的性骚扰。值得注意的是,遭受歧视和性骚扰在男性安全人才中也很普遍:36%的男性受访者也报告曾遭受歧视,31%表示曾在专业会议上遭受性骚扰。
总结:安全感和满意度决定一切
虽然教育和培训机构的人才输出能力不断增长,但是信息安全行业人才缺口却不断扩大,根本原因是这个行业留不住人。原因是多样的,概括起来就是缺乏安全感和满意度。
缺乏明确的职业路径和糟糕的企业文化是主因,很多信息安全行业企业的领导者和“大咖”自身就没有树立好的榜样。此外,正如很多知名企业人力资源都搞不清楚CTO的职业发展路径,整个行业对信息安全人才的成长和职业发展更是缺乏系统科学的规划,同时对信息安全岗位满意度相关的企业文化、薪酬福利待遇缺乏完整有效的整改方案。
如果当下不甚满意,未来一片迷茫,这样的信息安全市场将很难留住高素质人才,这将制约整个行业的发展,并使企业信息安全面临的挑战、威胁和产生的损失不断增加。如何吸引并留住优秀信息安全技术人才,并将他们转化成企业的优良资产?也许Akamai公司的招聘经验值得我们借鉴。
![]()
