您好,歡迎來到深圳市智慧安防行業(yè)協(xié)會——(原深圳市視頻報警安防行業(yè)協(xié)會)
當(dāng)前位置:協(xié)會首頁 > 新聞動態(tài) > 行業(yè)新聞 > 實現(xiàn)更好的企業(yè)安全的五大貼士

實現(xiàn)更好的企業(yè)安全的五大貼士

時間:2015-10-27 09:01:49 來源:深圳市智慧安防行業(yè)協(xié)會 作者:互聯(lián)網(wǎng)

  您企業(yè)當(dāng)前的相關(guān)安全策略和程序是否真的有助于實現(xiàn)更好的安全,或者您企業(yè)的這些安全策略和程序只是關(guān)注于尋找已知的惡意軟件,卻忽略了某些人為因素呢?對于許多企業(yè)而言,這是一個相當(dāng)棘手的問題。
  
  最近幾個月在美國各大機構(gòu)所發(fā)生的數(shù)據(jù)泄露事件無疑引發(fā)了人們對于當(dāng)前安全工具的有效性以及應(yīng)對和處理新興安全威脅的相關(guān)方法的關(guān)注和討論。
  
  

\


  
  在過去的十年中,私營或公開上市企業(yè)已經(jīng)在加強安全性方面花費了數(shù)百億美元,然而,惡意攻擊者們依然一直能夠通過各種方式成功地逃避企業(yè)所設(shè)置的重重安全防范措施。
  
  這一趨勢已經(jīng)使得許多企業(yè)紛紛接受并采用一種回歸到基本的方法:開始將重點放在工作人員、流程和技術(shù)上。而不是把安全功能方面的支出視為企業(yè)經(jīng)營的一項麻煩的成本,越來越多的企業(yè)開始將其作為一項大力推動的新的戰(zhàn)略舉措。
  
  “安全性和產(chǎn)品開發(fā)并不是相互排斥的?!?萬事達卡的首席信息安全官Ron Green表示說?!拔覀儾⒉粚踩宰鳛橐豁椆铝⒌呢?zé)任?!?/span>
  
  相反,萬事達卡的安全專家們都在與其他專注于身份驗證創(chuàng)新業(yè)務(wù)的團隊合作,包括諸如萬事達實驗室、新興的支付和企業(yè)安全解決方案團隊,Green說。此舉的重點是產(chǎn)品的長期管理和使用安全,并利用安全提高持卡人的用戶體驗。
  
  “我們的高管團隊期望我們能夠?qū)踩约{入到我們每一項標(biāo)準(zhǔn)的實踐中?!?Green說。雖然這種做法可能會增加項目進度的時間成本,但這些成本是值得的。 “安全性已然成為吸引客戶的一大籌碼,而每家企業(yè)都需要為其客戶提供足夠的安全性。”他說。
  
  企業(yè)的IT領(lǐng)導(dǎo)們在戰(zhàn)略層面需要從如下五大關(guān)鍵措施入手,以加強安全性。而不同企業(yè)實施這些措施的方式可能會因企業(yè)具體的戰(zhàn)術(shù)和操作水平有所不同。但關(guān)鍵的是要把重點放在高層次的目標(biāo)上。
  
  1、加強網(wǎng)絡(luò)邊界的保護
  
  周邊技術(shù),如防病毒工具,防火墻和入侵檢測系統(tǒng),長久以來一直是企業(yè)安全戰(zhàn)略的支柱。這些周邊技術(shù)通過尋找特定的標(biāo)記,或簽名,已知病毒和其它類型的惡意軟件,然后阻止惡意程序。
  
  較之其他更多安全產(chǎn)品類別的產(chǎn)品,多年來,公共和私營企業(yè)都傾向于在周邊安全工具方面花費更多的成本。但分析師們則警告說,對于保持系統(tǒng)的安全而言,僅僅靠外圍防護是遠遠不夠的。
  
  但是,多家大型企業(yè)遭遇嚴(yán)重的數(shù)據(jù)泄露事故的殘酷現(xiàn)實已然表明,基于簽名的周邊安全工具對于應(yīng)對現(xiàn)如今惡意黑客所采用的有高度針對性的攻擊行為是無效的。少數(shù)企業(yè)似乎準(zhǔn)備完全放棄周邊安全技術(shù),而仍有許多企業(yè)堅持認為這些工具對于防止惡意軟件發(fā)揮了重要作用。盡管如此,將周邊安全技術(shù)作為唯一的,甚至是主要的防線是不夠的,IBM安全研究員Marco Pistoia說。
  
  “一系列的網(wǎng)絡(luò)安全攻擊已經(jīng)表明,現(xiàn)在的黑客們能夠繞過幾乎任何類型的物理限制?!盤istoia說?!盎谥苓叺陌踩烙夹g(shù)仍然是必需的,但這些手段并不足以保證一個計算系統(tǒng)的安全性?!?/span>
  
  從戰(zhàn)略和戰(zhàn)術(shù)的角度來看,企業(yè)將以周邊安全技術(shù)作為安全鏈的必要環(huán)節(jié)之一是很重要的。
  
  同樣重要的是模式識別和預(yù)測性分析工具,可以幫助企業(yè)建立正常的網(wǎng)絡(luò)活動的基準(zhǔn),然后找出行為偏差。正如在需要網(wǎng)絡(luò)防火墻以阻止已知的安全威脅一樣,企業(yè)也同樣需要Web應(yīng)用程序防火墻來防御那些設(shè)法突破周邊安全工具的惡意軟件,位于加州的法律公司Fenwick & West的CIO Matt Kesner表示說。
  
  “在技術(shù)方面,我們?nèi)匀辉诨ㄙM時間和金錢在周邊外圍方面?!盞esner說。但已然不再僅僅盯住更多在網(wǎng)絡(luò)邊緣基于簽名的攔截功能,Kesner已經(jīng)在網(wǎng)絡(luò)的各個層面建立了冗余惡意軟件攔截系統(tǒng)和防火墻,包括在該公司W(wǎng)eb應(yīng)用程序服務(wù)器的前面。Fenwick & West公司使用日志事件協(xié)調(diào)系統(tǒng),使IT能夠從網(wǎng)絡(luò)上的所有設(shè)備聚合、關(guān)聯(lián)和分析日志記錄和規(guī)則信息。
  
  Kesner還部署了幾款來自利基供應(yīng)商的產(chǎn)品,以實現(xiàn)諸如搜索可疑特權(quán)升級和尋找隱藏極深的網(wǎng)絡(luò)入侵者的證據(jù)等特殊功能?!拔覀兓舜罅康臅r間,以確保周邊安全技術(shù)能夠符合我們的預(yù)期?!盞esner說?!拔覀兗僭O(shè)漏洞違規(guī)行為必然會發(fā)生,并希望能夠更好地對其進行防范。”
  
  最近幾年已經(jīng)發(fā)展出了一類專業(yè)化的新產(chǎn)品的特點就是所謂的“殺鏈”工具。可從諸如Palo Alto Networks這樣的供應(yīng)商處購買,這些系統(tǒng)不僅能夠幫助企業(yè)尋找惡意軟件;同時還能夠監(jiān)視黑客如何利用惡意程序進入網(wǎng)絡(luò),而這些信息最終幫助企業(yè)用戶消除安全威脅。
  
  許多工具都是基于個別黑客和黑客團體通常使用相同的惡意軟件工具,并在攻擊目標(biāo)時,會遵循一套模式的前提。因此,通過確定安全攻擊背后的個體或者黑客團隊,企業(yè)防御特定工具以及攻擊手段就會變得更容易。
  
  2、建立檢測和響應(yīng)能力
  
  現(xiàn)如今絕大多數(shù)針對企業(yè)的攻擊都是由犯罪團伙或國家作為背后支持者針對性的策劃進行的。過去的那些隨機性的,漫無目標(biāo)的攻擊活動都已經(jīng)由經(jīng)過精心設(shè)計,以獲取企業(yè)信息、知識產(chǎn)權(quán)、商業(yè)秘密和財務(wù)數(shù)據(jù)為目的的攻擊所取代了。相較于以往那種哪痛醫(yī)哪的思路,如今企業(yè)應(yīng)當(dāng)高度重視那些表現(xiàn)得非常低調(diào),而且傾向于一點點慢慢獲取數(shù)據(jù)的攻擊行為。事實上這幫黑客變得極有耐心,他們可以拿出很長時間逐漸拼湊出自己想要的信息。
  
  在這樣的環(huán)境中,任何安全策略都應(yīng)該盡可能多地強調(diào)將檢測和響應(yīng)納入到預(yù)防中。
  
  “基于靜態(tài)規(guī)則和簽名的預(yù)防工具無法阻止確定的先進的攻擊?!盓MC安全部門RSA技術(shù)解決方案主管Rob Sadowski說。因此,重要的是,優(yōu)先考慮早期檢測和響應(yīng),以確保黑客入侵不會導(dǎo)致業(yè)務(wù)受損或商業(yè)損失,他說。
  
  為了推動這種變化,IT領(lǐng)導(dǎo)者們需要使用能夠在可視性方面提供更多細粒度的工具,以便他們更多的了解基礎(chǔ)設(shè)施的情況,Sadowski說。
  
  這是必要的,例如,增強現(xiàn)有的以日志為中心的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和端點監(jiān)測技術(shù),使安全管理員能夠獲得對于攻擊者活動的更全面的了解。
  
  在發(fā)現(xiàn)和限制由憑據(jù)和身份所造成損害的影響方面,利用身份管理,身份治理和行為分析工具,也同樣重要,Sadowski指出。
  
  萬事達卡的Green說,企業(yè)需要采取一種多層的方法來確保安全。“如果你企業(yè)只是尋找一種方法,可能不能涵蓋所有需求?!彼J為企業(yè)過于依賴于基于簽名的周邊安全技術(shù)。
  
  這種多層方法應(yīng)包括防范內(nèi)部攻擊,而不僅僅是防御外部攻擊的手段?!捌髽I(yè)內(nèi)部的安全威脅往往更具挑戰(zhàn)性,” Green說。“所以,企業(yè)應(yīng)該有套強大的和分層的安全計劃,能夠解決企業(yè)內(nèi)部和外部的安全威脅,并允許您在問題出現(xiàn)的情況下,快速識別并解決?!?/span>
  
  3、安全代碼開發(fā)
  
  脆弱而易受攻擊的Web網(wǎng)絡(luò)應(yīng)用程序經(jīng)常會為黑客提供對于企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)相對容易的訪問,所以確保這些網(wǎng)絡(luò)應(yīng)用程序的安全是至關(guān)重要的,進而才能確保數(shù)據(jù)的完整性和保密性。
  
  常見的、易于理解的不足之處,如SQL注入錯誤、跨站點腳本缺陷、失效的驗證和會話管理功能都難倒了許多企業(yè)。但最近一波主要針對大型企業(yè)的黑客入侵組織真正推動了對于安全代碼的需要。
  
  “如果你企業(yè)正在開發(fā)一款應(yīng)用程序,隨之需要考慮的便是安全方面的期望?!?Green說?!爱?dāng)涉及到安全和隱私保護時,您肯定希望從供應(yīng)商那里購買的技術(shù)都是他們最頂尖的巔峰技術(shù)?!边@同樣也適用于供應(yīng)鏈合作伙伴和產(chǎn)品服務(wù)的其他供應(yīng)商,他補充道。
  
  硬化的計算系統(tǒng)的軟件組件是特別棘手的,因為漏洞可以被嵌套在代碼深處, IBM的Pistoia說。為了防止應(yīng)用程序被攻擊,從而維護數(shù)據(jù)的完整性,企業(yè)必須讓安全管理成為軟件生命周期的所有階段的一部分,而適當(dāng)?shù)拇a審查的做法也需要到位,他說。
  
  對于許多大型企業(yè)而言,手工進行代碼審查的成本將是非常昂貴的。所以一個可行的選擇方案將是采用自動的方法,通過將靜態(tài)和動態(tài)程序分析相結(jié)合,并讓代碼分析處理成為應(yīng)用程序開發(fā)的一個組成部分。
  
  “高級應(yīng)用程序開發(fā)系統(tǒng)現(xiàn)在可以在每次提交或基于一定的周期進行應(yīng)用程序的代碼檢查?!?Pistoia說。其向應(yīng)用程序開發(fā)人員們顯示了需要進行簡潔修復(fù)和易于遵循的步驟,他補充道。
  
  “應(yīng)用層已經(jīng)成為網(wǎng)絡(luò)安全最新的戰(zhàn)場,其不僅僅是安全團隊的焦點,同時也是企業(yè)系統(tǒng)開發(fā)生命周期團隊所關(guān)注的重點?!痹诰€發(fā)票和支付平臺供應(yīng)商Viewpost公司的總顧問和首席安全官Chris Pierson表示說。
  
  將重點聚焦在靜態(tài)和動態(tài)代碼審查已經(jīng)成為更多的產(chǎn)品開發(fā)管道,他補充說,IT專業(yè)人員更注重的開放Web應(yīng)用安全項目的前10大安全隱患。
  
  重要的是,越來越多地采用DevOps方法給一些機構(gòu)帶來了在軟件開發(fā)生命周期的早期階段集成安全性的契機?!鞍踩允峭苿覦evOps采用的一個很大的因素?!?信息安全專家兼DevOps.com網(wǎng)站主編Alan Shimel說。
  
  開發(fā)和運營團隊必須認識到,安全必須是他們共同的責(zé)任,并需要在產(chǎn)品生命周期的早期,進行整合控制。它需要更經(jīng)常比現(xiàn)在發(fā)生了什么事情發(fā)生,他說。 “我們?nèi)匀惶幵谛枰f服大多數(shù)企業(yè)的安全團隊DevOps可以有助于提升安全性的階段。”Shimel說。
  
  4、關(guān)注人為因素
  
  近年來,許多最大的攻擊在其最初都是相當(dāng)無害的,隨著攻擊者逐步進入網(wǎng)絡(luò),使用合法用戶,如員工,商業(yè)伙伴或供應(yīng)商的登錄憑據(jù)進入網(wǎng)絡(luò)。黑客利用社會工程技術(shù)和釣魚電子郵件盜取屬于別人的用戶名和密碼,進而訪問企業(yè)網(wǎng)絡(luò),然后借助該最初的立足點查找和訪問關(guān)鍵的企業(yè)系統(tǒng)和數(shù)據(jù)存儲。
  
  這一戰(zhàn)術(shù)曾被入侵者用來攻擊過的目標(biāo)包括:Target、Home Depot、美國人事管理辦公室及其他網(wǎng)站。這些機構(gòu)現(xiàn)在已經(jīng)把注意力集中在了對員工和其他授權(quán)用戶需要更多地了解安全風(fēng)險和培訓(xùn)方面,以確保用戶能夠識別和抵抗?jié)撛谕{。
  
  “企業(yè)員工真的需要明白自己在保護公司資產(chǎn)中所發(fā)揮的作用”萬事達卡的Green說。
  
  在許多情況下,對企業(yè)數(shù)據(jù)有訪問權(quán)限的員工用戶并不覺得個人有義務(wù)保護對數(shù)據(jù)的訪問。為了鼓勵這樣的用戶接受一些維護企業(yè)系統(tǒng)的責(zé)任,Green說萬事達卡公司采用的政策是“構(gòu)建學(xué)習(xí)文化,以便我們可以定期教育員工,讓他們了解如何保護我們的資產(chǎn)更安全,特別是當(dāng)新的威脅出現(xiàn)時。”
  
  作為這方面努力的一部分,萬事達卡結(jié)合了傳統(tǒng)的訓(xùn)練方法和Green所謂的“寓教于樂的方法”來傳遞重要的信息?!耙驗榉缸锓肿涌偸窃絹碓铰斆?,我們必須在加強保護的意識方面必須領(lǐng)先他們一步。”他說。這個想法是為了給員工留下深刻印象:他們是安全團隊的一部分,即使他們可能不會向安全團隊報告工作。
  
  “正因為如此,現(xiàn)在已出現(xiàn)了創(chuàng)造性的方式來加強我們的安全?!盙reen說,并介紹了一項安全倡議呼吁保護持卡人數(shù)據(jù),成為安全網(wǎng),該安全倡議是由萬事達卡于去年十月發(fā)起的。
  
  5、保護您的業(yè)務(wù)流程
  
  一家擁有最好的安全技術(shù)的企業(yè),仍然可能會被壞的實踐操作方法和流程所絆倒。這就是為什么Fenwick & West的IT部門會實施Kesner所說的針對企業(yè)涉及敏感數(shù)據(jù)處理的政策和過程需要進行相關(guān)大大小小的改變的原因了。
  
  例如,在過去,這家法律公司的政策是盡可能采取加密傳入和傳出的客戶端數(shù)據(jù)的方法。而現(xiàn)在,這已經(jīng)是一項絕對的要求。Kesner的團隊還實施了新政策,以確保對公司存儲區(qū)域網(wǎng)絡(luò)的數(shù)據(jù)是加密的,而且在傳輸過程中也是加密的。所有公司的筆記本電腦和臺式機的敏感數(shù)據(jù)均是加密的,IT每六個月運行審計和測試,以驗證這些加密。
  
  該法律公司有第三方和安全公司定期來做滲透測試和模擬攻擊,而且沒有什么禁區(qū)限制?!坝辛诉m當(dāng)?shù)谋C軈f(xié)議,我們可以讓安全工程師針對每件事情執(zhí)行滲透測試?!盞esner說。之后,IT團隊要求安全服務(wù)公司給出一份名單,詳細列出他們需要在實際的安全政策方面需要改革的五項變化。
  
  Fenwick & West公司現(xiàn)在要求所有的合作伙伴,以書面披露他們的安全實踐的完整細節(jié),并承認他們了解法律公司的安全政策和流程。合作伙伴必須實施雙因素身份驗證,不再允許使用用戶名和密碼到Fenwick網(wǎng)絡(luò)進行驗證。
  
  各種各樣的企業(yè)都在采取類似的方法。網(wǎng)絡(luò)安全是一項首要任務(wù),而企業(yè)領(lǐng)導(dǎo)團隊和董事會也承認這一事實?!捌髽I(yè)董事會希望和要求了解公司的網(wǎng)絡(luò)安全的立場是從控制、治理和運營的角度來看的?!盫iewpost的Pierson說。
  
  “如果你想吸引并留住客戶的信任,安全和隱私必須成為你企業(yè)的文化和價值主張?!?/span>
企業(yè)資訊
共繪藍圖,2024熵基科技全球合作伙伴大會圓滿成功
近日,以“共繪藍圖”為主題的2024熵基科技全球合作伙伴大會在東莞成功落下帷幕。作為熵基科技規(guī)模最大、面向全球全品類核心伙伴的頂
一文讀懂熵基國密門禁
在數(shù)字化轉(zhuǎn)型的洪流中,信息安全不僅是企業(yè)穩(wěn)健運營的基石,更是公共部門安全無虞的保障。隨著數(shù)據(jù)價值的日益凸顯,其保密性和安全性成為
門禁“隱形冠軍”?是時候重新認識熵基科技了
在智慧出入口與身份識別、辦公等領(lǐng)域深耕多年的熵基科技,早已不局限于傳統(tǒng)的門禁與考勤系統(tǒng),而是悄然邁入了智能物聯(lián)(AIoT)的廣闊
項目活動
熱門專題
  • 熵基科技出席數(shù)字經(jīng)濟及智慧城市空間未來應(yīng)用創(chuàng)新峰會
  • 2021年智能安防機器人市場或?qū)⑦M入井噴期
  • 2021年的智慧城市建設(shè)該怎么發(fā)展?聽聽行業(yè)大咖的觀點
  • 達實信息:顛覆傳統(tǒng)經(jīng)營模式 構(gòu)建互聯(lián)網(wǎng)+門禁新時代