惠普安全負(fù)責(zé)人表示,企業(yè)目前的安全工作完全放錯了位����,他們只是一味關(guān)注如何阻止罪犯,而不是把精力集中于如何第一時間發(fā)現(xiàn)入侵者����。
研究表明,企業(yè)86%的安全開支用于防止黑客入侵上����,惠普高級副總裁兼企業(yè)安全產(chǎn)品總經(jīng)理Art Gilliland說道。但入侵者潛入公司電腦以后����,平均416天才會被發(fā)現(xiàn)。
“因此����,這些不良分子一年到尾都在公司內(nèi),目前系統(tǒng)根本不足以發(fā)現(xiàn)它們�����。甚至公司還不是自己發(fā)現(xiàn)它們的;94%情況下都是由別人告訴它�����,”Gilliland說。
“想要驅(qū)逐這些壞分子還真是困難���,因為一開始你就沒意識到他們的存在����。你根本不知道他們在哪里�����。你嘗試修復(fù)被盜數(shù)據(jù)���,但壞分子可能無所不在。他們究竟隱藏在哪里呢?我們最近的研究表明�����,相比2年前���,現(xiàn)在需要71%的額外時間才能發(fā)現(xiàn)這些家伙��,”他說����。
入侵階段
據(jù)Gilliland,答案就是停止把所有資源用于阻止入侵上��,重新分配資源到各個入侵階段����。
“把每個入侵階段都看做建立防御的立足點。我認(rèn)為短期內(nèi)最有希望實現(xiàn)的目標(biāo)是����,在對方入侵但尚未盜取數(shù)據(jù)時,第一時間將其擒拿����,”他說。
Gilliland稱����,入侵過程可分為5個獨立連鎖階段,該想法最初由Lockheed Martin提出����。第一階段是研究,也就是潛在入侵者研究系統(tǒng)和員工的階段��,由于員工們通常對Facebook情有獨鐘,該階段對入侵者來說相對簡單���。
第二階段為滲透����,也就是罪犯入侵階段���。然后是第三階段:發(fā)現(xiàn)�,主要是通過探索內(nèi)部環(huán)境以調(diào)查系統(tǒng)安全����,并確定最敏感數(shù)據(jù)位置。第四階段是捕獲�。
“90%情況下�,入侵者盜取的都是智力財產(chǎn)或客戶數(shù)據(jù)或某種信息。有時也伴隨著明顯的物理破壞�����,但很罕見���,我記憶中����,過去5到10年一共發(fā)生了3起物理破壞事件。蠕蟲病毒��,火焰病毒���,一般就是這類型技術(shù)---通常都是網(wǎng)絡(luò)戰(zhàn)技術(shù)��,而不是典型的犯罪���,“Gilliland說。
最后的階段就是滲出�。“這是“清除數(shù)據(jù)”的花哨軍事術(shù)語。入侵?jǐn)?shù)據(jù)可以以電子加密的方式���,通過43端口和SSL通信口輸出- 那是很難發(fā)現(xiàn)的������;蛘���,如果我知道市場營銷組有很不錯的客戶數(shù)據(jù)����,我也可以入侵并竊取幾臺筆記本電腦,“他說��。
如果安全投資集中在入侵過程的第二階段��,那么企業(yè)將不可避免變得十分脆弱�����,尤其是在入侵者竊取前的第三階段����。
“如果你細(xì)細(xì)打量當(dāng)今的入侵類型,你會發(fā)現(xiàn)��,他們通常以損害用戶認(rèn)證信息的形式出現(xiàn)��。他們偷走我的密碼�,然后模仿我的行為���,所以你迫切希望找出這些非尋常行為��,”Gilliland說���。
“我做事有章可循�,如果我表現(xiàn)異常時��,你就應(yīng)該好好調(diào)查一番了�����。”
為分析大數(shù)據(jù)而設(shè)的工具��,就是用于此��,Gilliland說��。
“在安全性方面�,我們研究大數(shù)據(jù)已經(jīng)很長時間了。我們只是沒有新工具�����。柱狀數(shù)據(jù)庫的構(gòu)建��, MapReduce以及一些新型技術(shù)的使用等�����,這些方法使得我們不僅能夠整合技術(shù)數(shù)據(jù),還可以整合用戶和信息流數(shù)據(jù)�����,”他說�。
“以前我們根本不可能做到這點,因為你將不得不消耗大量數(shù)據(jù)�,等到系統(tǒng)成功制出所需數(shù)據(jù)后,就已經(jīng)太晚了�。”
運(yùn)營團(tuán)隊的安全專業(yè)知識
然而,盡管大數(shù)據(jù)技術(shù)可助安全系統(tǒng)更快作出響應(yīng)���,但大多數(shù)企業(yè)面臨的真正挑戰(zhàn)在于����,技術(shù)使用者和安全運(yùn)營團(tuán)隊的專業(yè)知識是否能勝任��。
“這些技術(shù)不像防火墻或殺毒等阻斷技術(shù)���,它們不能自動運(yùn)行���。這就好比車道上停著輛豪華跑車,汽油全滿���,車頭燈也開著了 - 我們可以幫助你做到這點�����,我們可以幫忙部署�,并把車放在那里�,但如果你不上車,不駕駛它周游列國��,那也是于事無補(bǔ)����,“Gilliland說。
“是的���,我們可以把它設(shè)計成自駕車�,這樣行駛起來更加便利����,但該技術(shù)其實都很簡單。如果你真想找到有能力的對手����,那你要必須先學(xué)會開車����,然后帶上你的愛車去越野����,但你必須要自己駕駛它啊!”
