惠普安全負(fù)責(zé)人表示��,企業(yè)目前的安全工作完全放錯(cuò)了位��,他們只是一味關(guān)注如何阻止罪犯����,而不是把精力集中于如何第一時(shí)間發(fā)現(xiàn)入侵者。
研究表明,企業(yè)86%的安全開支用于防止黑客入侵上�����,惠普高級(jí)副總裁兼企業(yè)安全產(chǎn)品總經(jīng)理Art Gilliland說道���。但入侵者潛入公司電腦以后����,平均416天才會(huì)被發(fā)現(xiàn)����。
“因此,這些不良分子一年到尾都在公司內(nèi)��,目前系統(tǒng)根本不足以發(fā)現(xiàn)它們��。甚至公司還不是自己發(fā)現(xiàn)它們的;94%情況下都是由別人告訴它����,”Gilliland說。
“想要驅(qū)逐這些壞分子還真是困難��,因?yàn)橐婚_始你就沒意識(shí)到他們的存在�。你根本不知道他們?cè)谀睦����。你嘗試修復(fù)被盜數(shù)據(jù)�,但壞分子可能無所不在����。他們究竟隱藏在哪里呢?我們最近的研究表明,相比2年前��,現(xiàn)在需要71%的額外時(shí)間才能發(fā)現(xiàn)這些家伙�����,”他說�����。
入侵階段
據(jù)Gilliland��,答案就是停止把所有資源用于阻止入侵上�,重新分配資源到各個(gè)入侵階段。
“把每個(gè)入侵階段都看做建立防御的立足點(diǎn)����。我認(rèn)為短期內(nèi)最有希望實(shí)現(xiàn)的目標(biāo)是,在對(duì)方入侵但尚未盜取數(shù)據(jù)時(shí),第一時(shí)間將其擒拿�,”他說。
Gilliland稱��,入侵過程可分為5個(gè)獨(dú)立連鎖階段�,該想法最初由Lockheed Martin提出。第一階段是研究�,也就是潛在入侵者研究系統(tǒng)和員工的階段,由于員工們通常對(duì)Facebook情有獨(dú)鐘���,該階段對(duì)入侵者來說相對(duì)簡單�����。
第二階段為滲透���,也就是罪犯入侵階段。然后是第三階段:發(fā)現(xiàn)�,主要是通過探索內(nèi)部環(huán)境以調(diào)查系統(tǒng)安全,并確定最敏感數(shù)據(jù)位置����。第四階段是捕獲。
“90%情況下�,入侵者盜取的都是智力財(cái)產(chǎn)或客戶數(shù)據(jù)或某種信息�。有時(shí)也伴隨著明顯的物理破壞��,但很罕見����,我記憶中����,過去5到10年一共發(fā)生了3起物理破壞事件。蠕蟲病毒�,火焰病毒,一般就是這類型技術(shù)---通常都是網(wǎng)絡(luò)戰(zhàn)技術(shù)���,而不是典型的犯罪����,“Gilliland說�����。
最后的階段就是滲出�。“這是“清除數(shù)據(jù)”的花哨軍事術(shù)語。入侵?jǐn)?shù)據(jù)可以以電子加密的方式�����,通過43端口和SSL通信口輸出- 那是很難發(fā)現(xiàn)的����;蛘撸绻抑朗袌(chǎng)營銷組有很不錯(cuò)的客戶數(shù)據(jù)��,我也可以入侵并竊取幾臺(tái)筆記本電腦�,“他說。
如果安全投資集中在入侵過程的第二階段����,那么企業(yè)將不可避免變得十分脆弱,尤其是在入侵者竊取前的第三階段���。
“如果你細(xì)細(xì)打量當(dāng)今的入侵類型�,你會(huì)發(fā)現(xiàn)����,他們通常以損害用戶認(rèn)證信息的形式出現(xiàn)。他們偷走我的密碼����,然后模仿我的行為����,所以你迫切希望找出這些非尋常行為�����,”Gilliland說�����。
“我做事有章可循����,如果我表現(xiàn)異常時(shí)���,你就應(yīng)該好好調(diào)查一番了�����。”
為分析大數(shù)據(jù)而設(shè)的工具�����,就是用于此����,Gilliland說。
“在安全性方面��,我們研究大數(shù)據(jù)已經(jīng)很長時(shí)間了����。我們只是沒有新工具。柱狀數(shù)據(jù)庫的構(gòu)建���, MapReduce以及一些新型技術(shù)的使用等�,這些方法使得我們不僅能夠整合技術(shù)數(shù)據(jù)�,還可以整合用戶和信息流數(shù)據(jù),”他說��。
“以前我們根本不可能做到這點(diǎn)�����,因?yàn)槟銓⒉坏貌幌拇罅繑?shù)據(jù)�,等到系統(tǒng)成功制出所需數(shù)據(jù)后,就已經(jīng)太晚了�。”
運(yùn)營團(tuán)隊(duì)的安全專業(yè)知識(shí)
然而,盡管大數(shù)據(jù)技術(shù)可助安全系統(tǒng)更快作出響應(yīng)�����,但大多數(shù)企業(yè)面臨的真正挑戰(zhàn)在于,技術(shù)使用者和安全運(yùn)營團(tuán)隊(duì)的專業(yè)知識(shí)是否能勝任���。
“這些技術(shù)不像防火墻或殺毒等阻斷技術(shù)��,它們不能自動(dòng)運(yùn)行��。這就好比車道上停著輛豪華跑車�����,汽油全滿��,車頭燈也開著了 - 我們可以幫助你做到這點(diǎn),我們可以幫忙部署����,并把車放在那里,但如果你不上車����,不駕駛它周游列國,那也是于事無補(bǔ)��,“Gilliland說。
“是的����,我們可以把它設(shè)計(jì)成自駕車,這樣行駛起來更加便利����,但該技術(shù)其實(shí)都很簡單。如果你真想找到有能力的對(duì)手�����,那你要必須先學(xué)會(huì)開車����,然后帶上你的愛車去越野,但你必須要自己駕駛它啊!”
