网络安全:保护总统的特勤局值得我们学习

美国特勤局的核心使命是保护美国总统,自特勤局开始保护总统起的110年里,只有7名攻击者切实侵入到了总统身边,且只有1名完成了他的任务,尽管总统每年都有数百场公众活动,任期内要会见成千上万人,特勤局依旧保持着这几近不败的记录,可谓战绩彪炳。



网络安全防御者面临类似的问题:他们要防护必须被保护的高价值资产,同时又不得不跟成百上千台其他服务器通信。不过,我们的网络安全记录可不怎么好看——2015年一年就发生了2260起数据泄露事件,绝大多数入侵者还是几分钟之内就攻破系统,而大多数防御者要几天之后才醒悟到泄露的发生。

特勤局一直以来都面对各种重大挑战,也将继续面对下去。不过,任何如此成功地应用了制度偏执的组织,必然在安全领域有可供他人参考的地方。

以下便是网络安全防御者可从特勤局习得的4招:

1. 你保护不了自己都看不见的东西

护卫任何地方的第一步,就是发现潜在的攻击路线。但即便到了今天,大多数网络安全防御,还是建立在靠记忆在餐巾纸上画出的网络拓扑一样的东西上。

事实上,近些年的每个重大入侵,都依赖攻击者对目标网络有着比防御者更好的认知上。2014 Carbanak
银行劫案就是个绝佳案例——数百次入侵,偷掉10亿美元,每次入侵都耗费上至4个月时间对目标网络进行侦察。更近一些的入侵,从孟加拉央行到美国人事管理局(OPM),也都符合相同的模式。

防御者常常对他们数据中心的实时运营只有最小的可见性,意味着他们知道自己的系统该怎样运转,但不知道它们实际上在怎么运行。攻击者就利用了这一缺口。特勤局会从攻击者的角度描绘运作环境,不这么干的防御者面对如今普遍调查详细决心坚定的入侵,自然就特别脆弱漏洞百出了。

2. 仅有可见性还不够——必须减小自己的攻击界面

无论是用绳索、栅栏、高墙还是帐篷,特勤局绝少会留掌控不到的地方。每块环境都有很多攻击路线,全部监视起来将会耗尽所有可用资源。但通过限制通向总统的路径,特勤局减少了风险,也能将资源集中到最有效的地方。

笔者当前职业,是带领团队周期性分析数据中心和云环境,帮助企业发现并关闭他们的攻击界面。我们发现,即使只有100台服务器的数据中心,服务器之间也存在有几十万个开放的端到端的通信路径。监视这么多路径,会让防御者淹没在警报和误报中,也就让公司无法分辨出究竟哪个才是最重要的。我们还发现,很多公司只用了不到3%的路径,引出一个简单的问题:那为什么要留着其他的开放端口呢?适应性分段就是数字版路障和绳线,是让网络安全防御者去除噪音,专注严重威胁的基础。

3. 给你的安全划分优先级

限制了攻击路线数量,形成最大风险的那些威胁便显露出来了。特勤局将其最宝贵资源——特工和监视摄像头,放置在最重要的交叉口和路径上。

很多网络安全防御者还在试图以平等对待每个服务器的方式保护他们的数据中心。如果你不视觉化自己的数据中心并采取措施减小攻击界面,那你别无选择,只能这么干。但这么做,会将防御者置于极度不利的地位,因为你服务器之间有几十万条那么多的路径,几乎不可能分辨出哪些是最重要的。而一旦我们对环境采取控制,减少这些通路,最危险的开放路径就会浮现出来:哪些路径可以让攻击者从开发移动到产品?哪些路径会让攻击者接触到高价值资产?

正如简化环境让特勤局得以更好地遂行护卫工作,简化服务器间的通信路径,也意味着你可以更快识别出数据中心里最危险的点,更有效地使用所有其他安全工具——蜜罐、入侵检测系统、行为分析、狩猎等等。

4. 专注于最有价值资产的安全后果

特勤局主要忧心总统面临的威胁的邻近度。有人穿越白宫栅栏就是个问题,因为这会让他们离总统更近。但这不意味着特勤局指望没人越过栅栏。实际上,有入侵者越过栅栏,但在草坪上被制服,正是安保应有的工作模式。栅栏阻挡了很多潜在闯入者,拖慢了闯入意志更坚定的人,这样他们就能在走得更远之前被阻住。

网络安全防御者依然经常觉得,任何对他们数据中心的入侵都意味着安保失败。但统计数据越来越证明,将全部入侵者当在边界之外是不可能的。最近的一个研究发现,2015年,75%的公司企业都至少被侵入过1次。特勤局明白这一挑战,因为他们从未依赖仅仅一层防御。深度防御是网络安全专家讨论了有些时日的概念,但很多数据中心依然是只要攻击突破边界就束手无措的状态。

入侵者有两个目的:收集目标环境的信息,以及利用这些信息对高价值资产搞破坏。与其专注边界,将之作为最重要的防线,我们更应该转变思维,将环绕高价值资产的围栅筑成最高的围墙。防线离高价值资产越远,将“识别”作为我们的目标就越重要——而不是100%的抗渗性。如果入侵者越过了外层边界,但在穿越草坪时被抓住,那并非失败的标志——而是安全系统照常运作的标志。

作者:nana

来源:51CTO

时间: 2024-09-16 04:27:17

网络安全:保护总统的特勤局值得我们学习的相关文章

21个值得我们学习的【联系我们】页面设计

  导览 有人认为网页设计只是项技术活,所以,很长时间里,我们都默默承受了网页与审美相隔千里之遥的尴尬局面,值到我们终于有幸看到别人设计出的好看的页面时,错误才显现出来. 对比出真知,就算已经意识到审美的重要性,我们依然有大段距离要赶.对此,我们只能不断学习.以下21个精心挑选的联系页面,有目前最潮流的表达方式,传统的排版方式似乎很难再找到.尽管它们也会有布局不够考究,或者其他这样那样的毛病,但终究,也是值得我们学习的.

6 个值得好好学习的 JavaScript 框架

常言道,条条大路通罗马,可是那一条适合我呢? 由于用于构建前端页面等现代技术的出现,JavaScript 在 Web 开发社区早已是如雷贯耳.通过在网页上编写几个函数并提供执行逻辑,可以很好的支持 HTML (主要是用于页面的 表现 或者 布局).如果没有 JavaScript,那页面将没有任何 交互特性 可言. 现在的框架和库已经从蛮荒时代崛起了,很多老旧的技术纷纷开始将功能分离成模块.现在不再需要在整个核心语言中支持所有特性了,开发者允许所有用户创建库和框架来增强核心语言的功能.这样,语言的

嵌入式 十个最值得阅读学习的C开源项目代码

开源世界有许多优秀的开源项目,我选取其中十个最优秀的.最轻量级的C语言的项目,希望可以为C语言开发人员提供参考. 十个最值得阅读学习的C开源项目代码 1. Webbench 2. Tinyhttpd 3. cJSON 4. CMockery 5. Libev 6. Memcached 7. Lua 8. SQLite 9. UNIX v6 10. NETBSD 十个最值得阅读学习的C开源项目代码 1. Webbench Webbench是一个在linux下使用的非常简单的网站压测工具.它使用fo

net-VB6.0平台项目值得深入学习吗?

问题描述 VB6.0平台项目值得深入学习吗? 大家好,请教一下,VB6.0的项目,餐饮类管理桌面软件,涉及的东西也挺多, 国内外这个项目在很多连锁餐饮公司都在用,有没有必要深入学习一下?请有经验的前辈 帮忙解答一下,(目前我在自学.net)多谢! (管理员发发慈悲,不要再删除问题了) 解决方案 这个取决于你,看你看你想哪方面了,是想学习语言还是学习业务实现,侧重的内容不同 解决方案二: 个人觉得VC6.0 的话,有含金量是必须的,但是他的门槛很高,若果你之前是做前端的话,并且想在短期内实现,那么

我国在网络安全保护方面已取得初步成果

中国反钓鱼网站联盟公布的最新数据显示,截至2009年10月26日,经联盟秘书处认定并处理的钓鱼网站域名达8342个. 专家认为,我国在抵御网络钓鱼危害,保护网民个人信息等网络安全保护方面已取得初步成果.同时,通过对我国境内钓鱼网站的及时处理,我国国家域名.CN的安全性更得到进一步加强,CN域名已成为互联网应用的"安全岛".淘宝.腾讯.工行等联盟成员单位表示,现阶段联盟等权威机构针对CN域名下的钓鱼网站打击力度非常大,利用CN域名进行"钓鱼"诈骗的现象已得到基本遏制.

腾讯QQ最值得别人学习

腾讯最值得别人学习的就是QQ本身.如果你用过其他的IM聊天软件,你会发现,QQ是世界上用户体验最好的IM通讯软件.腾讯QQ是世界上少有历经10多年,用户体验仍然良好,且仍保持着越来越好状态的应用软件. 关于QQ的用户体验,我浅谈几点: 1.确保用户基本使用体验良好. 虽然现在QQ上的按扭越来越多,功能越来越丰富,但你会发这些东西基本上不会影响你的基本使用--聊天.那些多出来的功能,你爱折腾就去用,不爱折腾也不会妨碍你. 这样既保障了所有用户的基本使用体验良好,又为爱折腾的用户提供的广阔的折腾天地

公安部正制定网络安全保护条例 大数据保护机制将完善

一个多层次的大数据安全网正在织起. 记者获悉,继网络安全法今起实施之后,我国还将进一步完善国家层面的大数据保护机制,加快推进大数据安全保护法律法规和制度建设. 公安部网络安全保卫局副局长李彤在日前闭幕的2017中国国际大数据产业博览会(下称"2017数博会")上透露,目前公安部正在制订网络安全保护条例,拟将大数据.云平台.物联网.工控系统纳入,并进一步完善等级保护措施,重点加强对国家关键基础设施和大数据的安全保护. 2004年以来,根据计算机信息安全等级保护条例,公安部会同相关单位共同

网联汽车存安全隐患 美当局呼吁加强网络安全保护

据<欧洲汽车新闻>报道,美国司法部近日指出,由于网联汽车和无人驾驶汽车或成为黑客的攻击目标,因此汽车行业必须确保旗下车辆内置网络安全保护系统. 由于车内配置了无线部件,网联汽车和无人驾驶汽车更易遭到黑客.潜在的恐怖分子和敌对国家的入侵,车辆或被远程控制,加大了事故和伤亡风险.12日在底特律北美国际车展上,美国国家安全首席检察官助理JohnCarlin指出,"目前汽车网联系统还不能将经验丰富的敌对势力或犯罪组织拒之门外". 网联汽车市场发展迅速,预计至2025年其估值将达到4

维护网络安全 保护人民利益

<网络安全法>于6月1日起施行,记者日前就法律实施的有关问题采访了国家网信办有关负责人.该负责人表示,<网络安全法>的公布和施行不仅从法律上保障广大群众在网络空间的利益,有效维护国家网络空间主权和安全,还有利于信息技术应用,有利于发挥互联网巨大潜力.同时,针对外国协会和机构的一些担心,该负责人明确表示,借鉴国际通行做法,根据本国国情,制定相关法律.行政法规,并依法对网络进行管理,完全是各国主权范围内的事情.制定和实施<网络安全法>,旨在维护国家网络空间主权和国家安全.社