《信息的安全系统三架马车》由会员分享,可在线阅读,更多相关《信息的安全系统三架马车(5页珍藏版)》请在金锄头文库上搜索。
1、word信息安全三架马车 Analytics+CyberSecurity+Forensics-美亚柏科:谢志坚关键词:趋势分析、即时响应、调查取证一、互联网信息安全透视“斯诺登事件的出现,引发了信息安全行业和国家层面网络安全的全民大讨论。美国政府的“棱镜计划令各国政府不寒而栗,美国利用全球互联网中心的地位和本土IT巨头的配合,长期监控非友好国家如中国俄罗斯等国,甚至盟友德国政府也不例外。信息安全就像一根绷紧的发条,悬在每个互联网弄潮儿的头上,越来越多的信息安全需求已经从纸面上摆到桌面上。公安部第82号令:互联网安全保护技术措施规定早于2005年就制定了信息安全等级保护和涉密分级保护等信息安全体
2、系,严令政府单位和各大企业根据自己单位对国家、社会等重要程度不同,制定对应的等保和分保级别。各中小企业也对自己的内部网络安全也逐渐重视起来。传统的安全防护,无非就是从管理和技术层面去构建自己的安全体系。管理上,制定各种管理性的安全制度,细分每个人员的角色权限,审计所有的访问行为等。技术层面,从OSI七层模层或TCP四层模式上,网络区域划分越来越细,硬件装备是越来越齐全,各种Firewall、IPS、IDS、WAF,AntiVirus等设备,从物理层已经武装到应用层,犹如一XX天网,于是乎觉得网络就已经很安全了,百毒不侵。但是,世界并不太平,天下无贼只是奢想。道高一尺,魔高一丈,所谓的安全,只能
3、是相对安全。中小学生水平的Tool-User就可以轻松使用DDOS工具攻击互联网,令很多企业束手无策,zero-day攻击让很多IT人员都不敢轻松度假。而APT攻击有很长的一段历史,少见有系统的概述,也往往因为周期长,让很多信息安全人员放松警惕。网络安全,尤其是互联网安全正在面临前所未有的挑战,现有的主要威胁来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APTAdvanced Persistent Threat攻击,或者称之为“针对特定目标的攻击。这种攻击方式有别于传统的网络攻击和应用入侵行为,突破传统现在的防御体系,直接把现有防护体系变成“马奇诺防线。一般认为,AP
4、T 攻击就是就是一场有组织有计划的犯罪计划,目的就是获取某个组织甚至是国家的重要信息,有针对性的进展的一系列攻击行为的整个过程。APT 攻击利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。此外,APT 攻击具有持续性,甚至长达数年。这种持续表现在攻击者不断尝试各种攻击手段,以与在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的根底设施和单位进展,包括能源、电力、金
5、融、国防等关系到国计民生,或者是国家核心利益的网络根底设施。对于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备串联起来的管理平台,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是,这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以与信息窃取,尤其是新型攻击例如APT 攻击,以与各类利用zero-day 漏洞的攻击。二、大中型企业如何面对高级威胁APT的挑战?众所周知,网络攻击者经常使用复杂的恶意软件来危害网络和计算机,以窃取企业的敏感信息。近期,Gartner的报告称可以用五种根本方式来保护企业免遭攻击,
6、并且建议结合其中两种与以上的方式,效果会更好。该报告详述了科学解决隐形攻击(又称先进的持续威胁)的“五种高级威胁防御模式,简单的传统安全防御技术如反病毒或防火墙并不包括在其中。这篇报告通过分析一些已经上市的安全产品,来帮助识别隐形攻击或收集被入侵的系统的相关信息,也就是所谓的计算机取证。报告认为,新型的防护体系应该包含事前发现,事中防护,事后取证。合理合规的安全体系部署和计算机犯罪取证相结合,寻找入侵关键电子证据,能有效定位犯罪嫌疑人,进而起诉攻击者,保护公司利益。u 事前防护:趋势分析众多企业了解网络攻击和其它未知风险对他们的系统和数据造成的不可防止的威胁,也在启发式的安全检测软件投入了资金
7、,以期对这些威胁做出警告和防御。多年来,他们努力将众所周知的安全城墙建得尽可能结实,但也只有方法检测的安全威胁。结果是,就算是最强大的软件也无法保证能够阻止诸如零日zero-day漏洞、木马、变形恶意软件或者内部人员渎职等安全威胁渗入企业内部。这样一来,安全专业人员也就只剩一个选择,即等待攻击发生。 一次看起来只是普通行为的操作,不会触发边界保护系统的警报,然而这可能是对网络的主要威胁,并造成极大破坏。现实是,如今企业时刻都在安全威胁的包围之中,而且所面对的更多是未知的安全威胁。为了深入了解这些未知的安全威胁,市面上的信息安全分析工具重点关注的是结构化数据:日志文件或网络数据包。然而,单单监控
8、网络数据包或者查看日志文件远远不足以检测这些未知威胁的异常行为。我们需要深入这些终端服务器和终端用户设备以彻底了解这些安全隐患。根据Gartner的新型安全框架定义要求,EnCase Analytics产品能通过对有终端数据的洞察分析,发现那些躲过检测的风险和安全威胁,是新一代的信息风险管控手段。它通过互动型的可视化界面,为用户提供其终端所面临风险的鸟瞰图,用户便可以查找系统上的异常行为,将其终端转为“大数据分析的源头从而快速发现入侵的迹象。EnCase Analytics可让客户能洞悉分析终端活动产生的数据,十分清楚地看到企业的全局安全风险,发现之前尚未被发现或未知的安全威胁。通过独有的系统
9、快照与智能分析模块,能与时发现系统出现的恶意进程、网络通讯连接,并作出预警。v EnCase Analytics发现难以找到的风险和威胁,具有: 通过全面的终端可视化来洞察安全 EnCase Analytics并不信任已经遭到入侵的操作系统,而是从内核级别获取您所有终端的数据,将这些数据存入最可靠、最有用的资源库,从中洞察未被检测的风险和威胁。 安全风险和威胁鸟瞰视图 不管数据集多大,有何差异,EnCase Analytics均能够快速将整个企业的终端数据以多维度进展可视化展示 从数据的可视化展示中快速洞悉风险与威胁EnCase Analytics通过互动型可视化界面,发现可疑模式、共性和异常
10、,还可对实时动态调整瞄准并锁定安全威胁u 事中防护:实时应急响应和敏感数据发现EnCase CyberSecurity是全球领先的企业安全事件应急响应与处置系统,基于国际领先的电子数据取证技术,通过磁盘级访问技术对终端与服务器进展搜索扫描。采用Entropy Near-Match专利技术,可发现企业网络中一样或相似的恶意程序、木马、病毒与其变种包括Rootkit程序),此外也可以搜寻整个网络中存在的所有恶意文档(Word/Excel/PDF等)发现相关恶意代码或文档后可在整个企业内部网络中大规模快速系统修补,对恶意文件进展强行删除与清理相关系统变动如注册表恢复,将整个网络中遭受破坏的PC终端与
11、服务器恢复至原来的状态,保证终端与服务器系统能正常运行。EnCase CyberSecurity是Guidance公司的事件响应和敏感数据发现平台的一款区别传统杀毒或其它基于文件型扫描产品的防护工具。它能改良数据与事件管理的工作流,节省本钱的同时提升安全、合规和调查团队的整体效率。 终端事件响应 通过快速验证、X围评估和抑制安全事件的发生来降低有效攻击的风险 消除事件发生、发现和响应之间的时间间隔 利用现有人员与技术降低损失,减少事件响应的开支 终端敏感数据发现 减小敏感数据存放于非授权路径的风险 减少定位敏感数据的时间,提高规章策略符合度 减少通常很难测量的数据发现过程的带来的损耗u 事后追
12、溯:取证与诉讼EnCase Enterprise是目前最强大和易用的远程调查解决方案,它可以为安全专家、调查员、计算机事件响应团队和诉讼专员提供他们所需的一切,助其迅速对企业网络中任何位置的服务器和工作站中的数据进展彻底搜索、收集、保存和分析,而不干扰公司的日常运行。EnCase Enterprise 是业界领先的电子取证解决方案,全球政府机构和财富 100 强企业中65家企业对于产品解决法律问题的能力大加赞赏。v EnCase Enterprise 备受各行业领袖和政府机构信赖的原因是: 采用集中式电子调查来降低本钱并提升效率 利用远程调查的最优解决方案来提升调查结果的可信度 满足行业调查的各项标准 利用高级搜索功能实现提供有史以来最快的证据挖掘速度 通过自动化常用调查任务提升工作效率 使用法庭认可的 EnCase 证据文件格式以维护证据的完整性 提供电子调查、事件响应和电子数据发现的根底 /
