返回
网络信息安全之外防内控

网络信息安全之外防内控

ID:21633951

大小:54.00 KB

页数:6页

时间:2018-10-23

网络信息安全之外防内控_第1页
网络信息安全之外防内控_第2页
网络信息安全之外防内控_第3页
网络信息安全之外防内控_第4页
网络信息安全之外防内控_第5页
资源描述:

《网络信息安全之外防内控》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网络信息安全之外防内控高级的定向攻击使“防范”为中心的策略已经过时。安全是对抗,不可能完全防范。做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一关键任务上,防范措施必不可少,但是基于预警、响应的时间差更关键。从未来看,企业安全将会发生一个大的转变:即以“信息和人”为中心的安全策略,结合全面的内部监控和安全情报共享。全方位的内部监控和安全情报是保护信息安全的主要手段。实际的安全工作中,很多用户知道要严防死守外部侵袭,但往往忽略了内部威胁对系统造成的破坏,实际上大多数安全威胁都来自内部。外部的防御与内部的控制(内部异常行为的发现与

2、处置)都很重要。针对外部的攻击(即外防),主要通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策,并通过X络安全设备或终端上的安全软件来执行决策(Action),达到针对高级攻击的防范。内部异常行为的监控(即内控):内部的异常行为造成的破坏是安全事故最大的,外部攻击者发起APT攻击,其中的部分环节Delivery、Exploitation、Installation、mandandControl(C2)、ActionsonObjectives都需要通过“内部行走”才能接触到敏感数据达到盗取或破坏的目的;同时企业内部的威胁源包括

3、可能准备离职有恶意的内部人员、内部人员的长期慢速的信息泄露、内部攻击也可能由具备内部访问权限的合作伙伴或者第三方发起。如果通过制定不同的情景,通过获取样本,建立正常行为模型,然后分析内部X络流量或终端服务器上的行为,并发现异常,情景感知(Context-Aware)是安全监测的很重要触发点。外防:威胁情报大家谈到APT的监测与防御时,其实最难的是“P”,攻击者可以花足够长的时间来进行“低速”攻击,传统的监测手段不可能发现,同时要做审计的话需要足够长时间的数据,这个数据到底多大又是个问题。没有集体共享的威胁和攻击的情报,单个组织将无法保卫自己。

4、Gartner也预测为大量企业提供可视化的威胁和攻击情报的安全服务商将更受市场的欢迎。安全情报以“空间”换“时间”,用协作来应对APT攻击的“P”。针对外部的攻击,通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策(action),并通过X络安全设备或终端上的安全软件来执行决策。整个过程可以通过机器的自动化执行。威胁情报一般包括信誉情报(错误的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里

5、看到安全预警通告、漏洞通告、威胁通告等,这些都属于典型的安全威胁情报。而随着新型威胁的不断增长,也出现了新的安全威胁情报,例如僵尸X络地址情报(Zeus/SpyEyeTracker)、Oday漏洞信息、恶意URL地址情报等。这些情报对于防守方进行防御十分有帮助,但是却不是单一的一个防守方自身能够获取和维护得了的。因此,现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。内控:情景感知对比2013年和2014年的

6、Gartner技术成熟度曲线可看出,情境感知(Context-Aware-Security)从谷底区到稳步攀升期的一个快速转变。情境主要指“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。情景在这里包含的因素有Who、What、To-What、When、Where等。情境分析首先关注审计客体和审计动作,以What和How为主要关联对象。简单的情境可包括:Who,低信誉的用户(比如已经中毒的用户,发现存在攻击行为的用户);What,来自IT不支持的Linux客户端的访问(客户端都是Win7,突然来了个Linux来访问自然不正常

7、);ToWhat,对敏感数据的访问(是否访问的是敏感数据);When,周日凌晨的访问(这明显不是工作时间,访问也明显异常);Where,来自没有业务的海外(这也很明显异常)。常见的异常情景比如:登录异常行为包括:异常时间、异常IP、多IP登录、频繁登录失败等行为。业务违规行为:包括恶意业务访问、业务只查询不办理、高频业务访问、业务绕行等等。共享账号:一个账号短时间换IP,一个IP登了多个账号等。下表列举了认证登录情景中主要关心的一些要素点:安全分析是核心能力大数据时代数据的采集、存储、分析、呈现等等,很少有一家能完全做得了,通吃也真没必要也没

8、能力,从细分看,做采集的可能有集成商或服务商来完成实施工作,做存储的有擅长Hadoop的来做,做分析层的需要有懂业务、了解安全的服务团队做的插件或APP来完成,数据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。