A假生活

政府要谈 open data 也得注意资安,新世代资讯防护战

作者: 来源:未知 2020-07-12

因应美国联邦政府日前发生 400 万笔公务员资料外洩事件,企业资安防护技术全球领导厂商 Blue Coat 呼吁企业及政府机构重视传统端点式安全防护的方法已不足以应付日益複杂的先进威胁,应採用生命周期防护策略的方法才能够避免未知的进阶威胁攻击。

越来越严峻的网路与资讯安全挑战,已成为美国联邦政府的第一要务。针对美国政府的网路攻击日益猖獗,美国人事管理局因遭受入侵而洩露了 400 万笔公务员资料只是最近引人注目的案例之一。在面对网路攻击的主动防御策略上,Blue Coat 建议,政府机构必需发展出全新的思维与执行方式,为网路攻击的完整生命周期建立一套完备的资安方法:从防御、侦测、修补到鉴识,以确保能够保护人民、公务员及任务的安全。

传统安全防护的不足

传统上政府机构的安全防护可能都只是整合网路式安全方案与独立的产品,只用来对抗已知的威胁。但是面对现今由国家所赞助的狡猾攻击者、骇客及进阶式威胁,这样的措施显然已经不足以面对。即时性的防御、侦测及修补网路攻击,不单只是网路安全挑战,还需要人性与技术的共同整合。

一般而言,政府机构可能透过一堆的端点式安全产品企图打造一个强大的安全堡垒。所以投入的大部份资安工作可能都是用来发展具备新技术的「单一工具」以防止恶意流量的渗透,并让流量能安全地通过网路。大致而言,这些全都是属于「防御式」技术,但是防御的墙越筑越高、範围越来越大的结果,反而造成了安全技术的落差。

这些技术对于阻档已知的威胁的确相当重要,并也能够帮助政府机构达成目的,而且只要开机更新,就能够完全发挥其功能。但是,政府机构若要维护其任务、服务和机关功能等相关资料的完整性(Integrity)、可用性(Availability)及机密性(Confidentiality), 则还需要具备情境式(Context)、可视能力(Visibility)以及进阶威胁防护(ATP)等相关技术;因此单纯使用这类传统技术在资安上仍有很大的防御落差。因为现今有很多的资安攻击都不单只是一些只会防御的传统技术所能够侦测得到的,所以政府机关需要有更完善的準备。

进阶威胁防护与生命周期防御

传统资安产品所能够防御的多属一般性的资安威胁,却无法解决美国人事管理局所遇到的进阶式威胁。以下则是一般威胁和进阶网路威胁的重要区别:

u  一般威胁或「大众市场」威胁 ,是每个人都应该防止的,如针对已知的作业系统或者是应用程式漏洞。这类型的威胁通常是由传统特徵式网路及端点 式 安全防御工具所侦测,包括入侵防御系统(IPS)、网页及电子邮件安全闸道器及防毒平台。

u  进阶式威胁 则是未知的威胁,通常针对的是未知的 OS 或应用程式漏洞,是传统特徵式防御无法侦测得到。

进阶式威胁实在太难侦测,传统依赖特徵模式比对的安全防护完全无用武之地。现在的重点是,诸如防火墙、IPS 及网页及电子邮件的安全闸道等传统防护措施,都属于「纵深防御」(Defense In Depth)或多层次防护(layered defense)策略的前线,但单靠这些措施无法侦测到现今的进阶式威胁。

政府要谈 open data 也得注意资安,新世代资讯防护战

当今联邦机构所面对的威胁都是前所未见的,其攻击面向与景观都较过去险恶。大致而言,主要的「威胁者」有四大类:传统的网路罪犯、激进骇客(hacktivists)、内部威胁(insider-threats),第四类则是我们见到的越来越多的由国家所支持的攻击。所有的这些威胁都会採用各式的方法以达到攻击目的,从阻断服务攻击 (DDoS) ,最基本的资料窃盗、零时差攻击、进阶的恶意程式,但更多的是渗透到政府机构的网路以及最珍贵的资料。

以生命周期防护来解决进阶威胁

全球资安威胁瞬息万变,因此,在持续的网路及资讯安全运作中,技术、流程与人员协作是相当重要的。至于该如何即时掌握资安情况,以协助判断并处理外来和内部的威胁,情报资讯则是关键。而生命周期防护法能将所有这些元素整合为一个可重覆执行的流程,因此建议政府机构部署生命周期防护,以建置一个完整的多层次防护流程与策略。

政府要谈 open data 也得注意资安,新世代资讯防护战

生命周期防护策略的三大阶段

生命周期防护策略包含了三大功能:

u  阶段一 – 持续的运作:生命周期防护一开始就要把侦测及封锁所有已知的威胁做为日常运作的一部份,而未知的威胁事件则放在防堵阶段(containment)。

u  阶段二 – 意外防堵:分析出未知的威胁并利用「封闭式迴路反应」(closed-loop feedback)缓解威胁,透过与其他安全系统自动共享的全球威胁情报为组织安全施打未来攻击的预防针。Blue Coat 全球情报网路拥有全球数以千计的企业组织以及数百万名使用者共享的威胁资讯,让防护系统能够学习、应用及演进,以领先进阶威胁一步。

u  阶段三 – 意外解决:资料外洩事件发生时马上调查、分析,快速补救,并透过全球情报网路共享调查的结果,让未知的威胁成为已知威胁。

对组织的长期价值

在採用生命周期策略与运作方式之下,政府机构可以自己定义组织内安全架构中每个系统与功能的关键流程与角色,以达到进阶威胁防护目标,并对未知的威胁免疫。这样的策略让机构能够主动修补损失,快速解决问题,从事件中学习并运用新的情报知识避免未来可能攻击的发生。
更多资讯请参考:

关于 Blue Coat系统公司

Blue Coat 是企业资安领域的领导厂商,提供就地部署、混合及云端式的安全解决方案以协助保护网路连结,对抗进阶威胁,快速回应安全漏洞。全球财富 500 大企业中有近 80% 以上是 Blue Coat 的客户。欲取得更多详细说明,请参阅 Blue Coat 网站

相关文章