本文讲的是 如果CIA都不安全,还有谁是安全的?,网络越透明,越有利于早期检测
无论是否已被黑,安然无恙地享受联网生活的几率,就跟河北想要看到纯净的蓝天一样渺茫。各种角度看来,当前的网络安全状况都十分令人担忧。
试想一下。CIA够安全了吧?入职之前要经过严密的背景调查,拿个安全许可和确定个密级还要经过测谎。中国式丈母娘审查在CIA面前根本不够看。
然而,恶意内部人依然可以带着大批CIA黑客工具扬长而去。
内鬼的可怕
情报机构无法保护自身免受内部人和丑闻困扰是挺令人忧伤的。路透社曾报道,政府机构估测,每6千到8千名雇员中间,就会出一个内部人威胁。百分比看起来蛮低的,但如果考虑到全国、全省、全州、全市和社区街道办的政府雇员人数呢?出了一例数据泄露,余波震荡都有可能深远到难以想象,比如大部分中国人都离不开的12306用户数据泄露事件(似乎21号又泄了……)。
而且,人类总是很奇怪的。某种程度上而言,只要是人,都有可能被收买。本就不怎么坚定的人,自然会为了名利就出卖国家;即便单纯爱国爱家,在误导性理念或信仰影响下,做出同样的卖国行为也不是不可能。于是,无论动机为何,牵涉到网络安全的时候,任何组织的最终目标都是:拦住那帮该死的坏人。
如果全都拦下不是可选项,那我们可以选择什么?或许,是时候转变焦点,成为威胁检测、预测和响应的专家了。这三者合一,便可铸造现代安全架构的基石,通往全面且持续的监测和高级行为分析,发现任何偷溜进来的坏蛋,甚或由好变坏的腐坏分子。
网络可见性是王道
正如CIA黑客工具泄露事件所揭示的,无论准备有多充分,不管应用了多少策略和规程,不论多么想保持健康,坏事总会发生。
网络流量可见性解决方案有些像是X光透视,都是用来辅助检测异常(潜在的内部小恶魔)以供进一步分析的。
即便X光检查不能治愈癌症,流量可见性也挡不住数据泄露,但它们可以提供更好的态势感知。感知可是发现潜在问题,打造其他定制安全和分析工具的第一步,可以供分析师像病理学家做活检确定肿瘤良性还是恶性一样,确定流量异常的危害性。有了诊断结果,公司企业就可利用该情报制定接下来的行动步骤了。
工具需要上下文才能区别好坏。换句话说,要具备对网络流量100%的可见性。没有完全可见性,恶意软件防护工具就无法确定可执行文件到底是好是坏;数据泄露防护工具就无法决策文档应不应该被允许发送出网络。讲真,如果不能提供工具起效所需的流量可见性,你弄个工具是为了摆那儿好看吗?
越好越全面的网络透明度,可以带来更好的早期检测机会。能在坏人有机会篡改或渗漏数据(阶段0)之前就逮到他,总比他已经侵入全部系统,卷走所有重要资产逃之夭夭(阶段4)的情况要好很多。
人们总觉自己不会那么倒霉被黑客攻击,总感觉被黑的都是其他公司,其他人。然而,或迟或早,总会轮到自己的。于是,我们首先要问问自己:能不能在黑客事件发生时识别出来?或者,更重要的,有没有能力做出恰当的反应?