GTM-W5W3BK9
Skip to main content
  1. 首页 >
  2. 关于富士通 >
  3. 公共信息 >
  4. Feature Stories >
  5. 截然不同的方法成为规范—在数字化转型时代防范网络攻击

截然不同的方法成为规范—在数字化转型时代防范网络攻击

在网络攻击逐渐升级的过程中,公司和组织应当彻底改变对于安全措施的看法。在无法完全避开网络攻击的前提下,对策的重点从预防攻击转移至遭受攻击之后将损失最小化。根据这一观点,公司和组织必须建立专业化安全团队。然而,因为安全人员极其缺乏,所以他们发现在内部很难保护所有基础。

T网络攻击的强度日益增加(表1)。例如,2015年6月,日本养老金机构一名员工的电脑感染了恶意软件,导致大约125万人的个人信息泄露。其它各种公司和机构也面临定点攻击的威胁。Yutaka Osugi是安全咨询公司ITR的分析员,他断言:“没有一家公司或机构不是定点攻击的目标。”

感染勒索软件的情况也十分普遍。勒索软件对你的数据加密或锁定你的电脑,然后在屏幕上显示消息,索要赎金。根据一家IT安全公司的调查,2016年1月至6月,日本的公司报告了1,510例遭受损失的事件,比去年同期高出九倍。

因为缺乏完善的防御,所以网络攻击具有绝对优势

在大多数情况下,公司和组织忽视了对于安全措施的需求但并没有成为定点攻击或勒索软件的牺牲品。即使如此,他们也无法安然无恙地避开这些网络攻击。

在网络攻击中,攻击者总是占据优势。人们已经形成共识:不可能百分之百阻止恶意软件感染。攻击者拥有巨大的恶意软件库,使用各种方法进行攻击,不时地打击人类的心智。

表1:最近的安全事故案例

为了将网络攻击的损害最小化,公司和组织必须彻底改变对该问题的认识。以前的共识是在边界完全阻止网络攻击,但是现在事情已经发生变化。人们开始认识到,即使使用高端安全产品也无法完全阻止网络攻击,因此安全投资的重点必须从预防网络攻击转移至“最好的防御就是进攻”。这意味着既要主动处理已经发生的攻击,又要采取事后措施,在攻击后将损失最小化(图1)。

收集攻击者的信息,减少容易成为目标的区域

网络攻击的措施的发展趋势已经从预防转向提前警告。根据德国安全销售商AV-TEST的报告,在2015年,每秒产生4.5种新恶意软件,攻击的速度以指数级增加。

常规的网络防御程序将在发现攻击时向你发出警告,然后匆忙防御,但是在处理攻击时,攻击者其实已经达到目的。下一代措施必须变为监控和处理威胁,即首先确定攻击目标。

重点是减少攻击点,也称为攻击面。攻击面最初是一个军事用语,系指可能受到攻击的区域。在安全领域,攻击面表示计算机、服务器和物联网设备。

网络攻击的目标和方法经常改变。安全措施的重点包括:确认攻击面的位置;涉及哪些风险;将攻击面最小化,从而避开攻击。

通过断开和失能处理定点攻击

即使减少了攻击面,公司和组织也会一直面临受到攻击的风险。因此,2015年年末,许多公司开始使用新的防御方法。例如,包含敏感信息的网络可以断开互联网连接。

通过断开连接,主干和信息系统与互联网物理分离。定点攻击导致125万帐户的养老金信息泄漏之后,日本养老金机构决定断开系统,作为提高安全性措施的一部分。主干系统完全断开互联网连接。在每个办公室,通过专用的计算机终端可以进行有限访问,旨在浏览网络和检查电子邮件。

同时,越来越多的公司和组织开始采用使来自在线邮件和网站的恶意软件失去能力的产品。这些产品通过专用服务器上的虚拟浏览器查看网络以及到达内部计算机屏幕的数据流。如果网站感染恶意软件,则恶意软件仅能到达内部计算机屏幕,无法到达系统。还有其它的安全产品,有些产品将恶意软件从电子邮件附件中去除,从而使恶意软件失去能力。

即刻建立安全专业团队

虽然网络智能强化“最好的防御是进攻”方法,但是仍然无法预防一些网络攻击。实际上,为了防范攻击,需要提前建立反应结构。最好的方式是建立“计算机安全事故反应团队”或CSIRT-应对安全危机的专业团队。

图1:安全措施基本政策的变化

网络攻击导致数据泄漏或网站篡改等事故发生之后,CSIRT是第一反应团队,遵循预定的程序。CSIRT没有通用的程序或团队结构,一般包括来自系统分支机构的职员以及来自业务分支机构的安全监督人员,他们在履行CSIRT职责之后需要继续实施本职工作。

根据日本信息系统用户协会(JUAS)的“2016年公司IT趋势调查”,只有3.8%的公司除了IT部门外还有事故反应团队,例如CSIRT。然而,CSIRT的概念开始逐渐受到欢迎,对此最积极的公司就是曾经在网络攻击中遭受损失的公司。政府也发布了一系列报告,建议私营公司设立CSIRT,从而推动了CSIRT的发展(图2)。

当网络攻击发生时,CSIRT必须介入,并且作出决策:是否停止服务;何时以及如何通知顾客和客户;何时联系主管机构。他们的主要职能是在事故发生时采取措施。他们发现和分析事故,控制损失,采取措施防止事故再次发生。

同时,他们在正常运营期间作好防范攻击的准备,确保顺利作出反应。作为对于事故的初步反应,他们可以监控系统,获得和分析行动日志,建立紧急状态下的指挥系统。初步反应还包括收集攻击数据,与其它组织交流,模拟紧急状态进行演习。而且,他们领导关键的质量控制任务:实施风险分析,制定“业务持续计划”(BCP),在正常运营期间实施安全教育,提高人们的认识。

SOC将网络攻击可视化

与CSIRT一道,安全运营中心(SOC)可以作为强大的资源用于提高针对网络攻击的反应能力。SOC是专业化机构,每天24小时监控来自内部系统和网络的日志,解读网络攻击迹象,向CSIRT发出警告。SOC将网络攻击可视化,是CSIRT的监视哨。

虽然可以在公司内部建立SOC,但是与CSIRT不同,SOC的职能完全可以委托给安全销售商。如果公司缺乏安全专业人员,则可以使用管理安全服务,将SOC外包。

许多企业,特别是大型制造公司,选择在内部建立SOC。在过去,只有金融机构和国防公司建立内部SOC,因为他们需要处理极其敏感的信息,拥有众多安全人员的ICT公司也会建立内部SOC,但是目前这种情况已经扩展至大型私营公司。

图2:信息安全事故发生时的反应组织

有两种情况促使公司建立自己的SOC。首先,网络攻击极其频繁,已被视为管理风险和灾难以及违规行为。例如,如果花费数年开发的设备蓝图被盗并且被实施逆向工程,则会造成几十亿日元的损失。其次,通过目前的ICT工具将会降低自行运营SOC的成本。

需要超过240,000名安全人员

我们已经讨论了危机管理的核心CSIRT和SOC。然而,为了建立这些组织,必须培训和聘请熟悉安全领域的人员,这就带来了最大的挑战。

在日本,大约有106,000名安全人员可用于保护400多万家日本企业。日本政府在2015年9月发布的“网络安全战略”表明,安全人员“在质量和数量上严重缺乏”。公司缺乏81,000名安全人员。在现有的265,000名安全人员中,159,000名(60%)能力不足。

JUAS的“2016年公司IT趋势调查”按照岗位调查了安全措施的充足性。80%的受访公司表示,缺乏足够的安全规划员和事故反应员(隔离和解决问题)。超过60%表示需要更多渠道与管理层沟通(图3)。

公司和组织的安全人员需要符合三项条件。首先,需要具有专业技能。虽然技能十分重要,但是他们也必须拥有掌控安全事宜的远大抱负,能够主动地参加海外活动和内部竞赛。

其次,安全人员需要具有现实主义精神。他们必须意识到,无论他们多么努力地工作,安全事宜都不会达到完美,因此需要重视消除所有脆弱性,考虑如何将脆弱性最小化,从而不会在现场产生问题。

最后,他们需要具有认真负责的态度。安全人员必须对预防事故的标准负责,不惜一切代价维护标准。

在这三个方面培训安全人员需要时间。在此期间,唯一的解决方案是将工作外包或者聘请成熟的专业人员。如果你不切实际地认为你能立即请到全能的安全人员,或者未能作好建立职业路径的准备,那么一切都是徒劳。

自2017年4月起实施新的国家认证制度

为了解决人员短缺的问题,政府于2016年4月启动“信息安全管理考试”,面向用户部门的安全管理员,旨在通过考试学习培养人力资源。

为了提高安全工程师的质量和流动性,政府将于2017年4月启动一项新的国家认证制度-“信息安全注册专家”制度。该认证的目的是对经过认证的个人进行公共注册,从而使公司和组织更加容易找到具有熟练技能的安全工程师。同时,注册人员必须定期参加研究班,以保持其技能水平。政府计划在2020年之前实现30,000名注册工程师的目标。

图3:信息安全措施的充分性,按照岗位和年份

不久以后,公司将无法独自处理复杂的大规模网络攻击。我们必须摒弃过时的常识。只有当公司认识到他们的防御能力有限时,他们才会真正开始回击网络攻击。

成为网络攻击的目标并非一种尴尬或耻辱。关键在于事情发生之后如何处理。如果从公司外部的人员和组织寻求帮助,并且积极地宣布受到攻击的事实,则应当会将损失最小化。

Detection-Focused Countermeasures Have Reached Their Limits

Taishu Ohta
布道者
网络安全业务战略单位
富士通有限公司

在今后几年内,将网络空间与现实世界紧密相连的网络-物理系统将会更加普及,因此网络空间的事故将会导致现实企业遭受巨大损失。管理层需要认识到“网络攻击威胁企业的每个方面”。

目前,以“发现恶意软件”为重点的安全对策已经到达极限。现在,每天几乎产生100万种新恶意软件(包括变种),而基于模式匹配的发现率低于50%。对于恶意软件的防御已经落后因为恶意软件可以悄悄滑过或逃脱。

公司现在需要的是以下对策:假设恶意软件侵入,能够识别已经潜入组织网络的恶意软件,并且将恶意软件的行为可视化。然后公司需要监控阻塞点(通信必须经过的点),知悉来自攻击者的C&C(命令和控制)服务器的远程命令,预防恶意软件运行,即使恶意软件已经潜入网络。

富士通正在开发的安全技术分为四(4)个方面,T1-T4。T1包括针对进出点的安全对策。我们已经开发了一项新技术,聚焦于攻击者的行为过程。该技术实时检测攻击者的活动,也就是将攻击行为的过程与模型(攻击者行为转换模型)进行对比,该模型基于对于过去潜入组织的攻击者行为的观察。

第二个方面T2使用的技术将已经潜入组织系统的恶意软件隔离。该技术监控网络通信量,实时检测恶意软件的活动,自动隔离被感染的设备。该技术能够有效发现不明恶意软件的位置,因为它能够评估定点攻击的常见通信行为。

T3方面提供新的踪迹收集和影响分析技术。我们已经开发了高速取证技术,能够自动分析大量网络通信,在短时间内显示一系列定点攻击的执行过程和状态的完整情况。这些技术能够以菊花链的形式表明被感染设备之间的关系。通过可视化,你能够提供攻击鸟瞰图,从而立即了解攻击的每个方面。

最后一个方面T4包括信息共享技术。富士通已经建立“网络威胁情报(CTI)应用系统”,能够高效分享和利用网络威胁情报。该系统将网络攻击的5W1H(攻击者,时间,目标,攻击对象,入侵路线和方法等)以及处理网络攻击的信息转换为计算机能够处理的形式。

我们相信这些解决方案将会改善公司安全措施(访谈)。

*2017年1月,本内容出现于ITpro Active。