现在,已有越来越多的人意识到网络的潜在风险,但是,许多企业仍然缺乏相关专业技术、工具,来确保IT基础设施安全。大多数的企业,都已部署了基本的解决方案,但很少人具备完整的网络安全策略。即使许多企业想要进一步做好防护,他们也不知从哪里开始比较好。
瑞技的解决方案架构师 Nicolas Yun,在网络安全、云计算、关系数据库和电信领域,拥有丰富经验。在加入瑞技之前,Nicolas 是 一家网络安全公司的共同创办人,这家公司致力于为《财富》100强公司提供网络安全建议。现在,Nicolas 在瑞技,为客户专业提供本地、云环境的全套网络解决方案。
Paul 认为,网络安全有三个核心要点:
· 弱点扫描(Vulnerabilty Scanning)
· 架构和侦测方(Architecture and Detection Methods)
· 快速侦测和回复(Rapid Detection and Response)
弱点扫描
弱点扫描:使用软/硬件工具,来识别计算机系统的弱点的过程,确定系统是否会遭受攻击或威胁。
考量到补丁和 bug 修复的庞大数量,许多企业很难时时确保系统更新。
弱点扫描将最高风险放在第一,协助减少补丁后的风险发生窗口,可以被分成三部分:
· 评估(assessment)
- 攻击表面(attack surface)是指软件环境中可以被攻击者输入或提取数据,而受到攻击的点位。借由定位攻击表面,能让企业清楚了解攻击向量(attack vector)
- 资产发现(asset discovery)能协助企业,清楚知道环境中所有的IT资产
- 进行内部/外部的设备弱点扫描
- 软/硬件清单可以协助企业维持安全强度
· 确定优先顺序(prioritization):确定威胁处理的优先次序
· 纠正(remediation):为接下来的弱点处理和补丁安排计划
架构和侦测方法
一个有效的网络安全系统有许多可移动部件,应该策略性地将传感器部署在整个环境里,以确保全面的网络和设备可视性。传感器应该要能进行深度封包检测(DPI,deep packet inspection)、session再安装、数据归一化(data normalization),将重要的信息传递到使用AI、机器学习、统计算法的基于云分析引擎。
AI 能够协助实现快速侦测,并很快适应变化;机器学习能够辨识出攻击工具的行为;数据分析则能减少误报。有些服务器会被用作为 “蜜罐”(honey pots)——用来吸引黑客的陷阱,让真正重要的IT设备远离攻击,并搜集和攻击相关的资讯。
快速侦测和回复
当网络攻击发生时,“侦测” 包含侦测攻击者入侵了哪里、攻击者做了什么。
“回复” 则包含将攻击者从网络移除,清理、修复受影响的系统和被入侵的账号。
这个阶段涉及了几项专业,包含:
网络威胁猎人(threat hunter)将可疑部分找出,搜集证据去确认其是否具有威胁性。如果找到了,就会把威胁列在优先处理事项。若发现有个持续在进行的危险,就会形成高优先级的警报,而相对严重程度没有那么高的,便会持续追踪、监控。
事件响应者将会被分配处理较复杂的案例,同时协助一系列技术/非技术的问题。
取证专家(network forensic)将处理最为困难的案例,他们会进行内部网络问题抓取、记录,分析攻击来源,对恶意软件进行逆向工程。这让他们能够侦测到最高级的攻击。
