黑客攻击已经成为司空见惯的事情,零售、金融、医疗、娱乐、电商、电信……几乎各种行业领域的企业都遭遇过严重的网络攻击。
相比之下,我们极少听说军队、国防或者政府情报机构被黑客入侵。为什么呢?肯定不是因为他们没有遭受攻击,事实上这些机构更会是许多黑客攻击的重点目标,针 对这些机构的大规模攻击每天在发生。但由于这类对安全高度敏感的机构在网络安全上采取了类军事化的方法,绝大部分攻击只能无功而返。因此有人提出,既然军 事化的方法非常有效,那么为什么不让公司企业也采取这种方法来保卫自身的网络安全呢?
麦克·沃尔斯是网络安全公司EdgeWave的安全、运营和分析常务董事。他之前是军舰队网络司令部1030特遣部队的指挥官,最近刚刚退役。沃尔斯任指挥官期间负责超过40万人、300艘舰船和4千架飞机的网络指挥,在保卫美国政府数据库和改进海军计算机网络整体安全协议中曾起着重要作用。
沃尔斯的新工作,是将军事化的网络安全带到企业组织中来。这是一种高精度与集成网络能力的服务,采用军事级别操作,可以精准识别网络攻击并提供集成的实时防护,公司将这种服务命名为EdgeWave EPIC。
沃尔斯在海军服役时的最后一项任务是负责保证舰船和岸上人员准备就绪。为达到这个目标,沃尔斯组建了3只队伍。红队负责对海军各组织和舰船进行非合作的评 估,他们从位于弗吉尼亚的实验室向舰艇战斗群的网络或者岸上设施的网络发起渗透攻击,而大多数时候他们的渗透都是成功的。通过这种方式,他们帮助训练网络 操作者如何识别敌对攻击,并帮助作战人员学会怎样在对抗环境下继续使用网络。
蓝队则做一些更具合作性的评估。他们会在IT人员陪同下接入网络,把相关数据带回实验室做进一步分析研究。之后会拿出一份报告,指出被分析的网络是否有任何异常。除了漏洞的评估环节,这支队伍同时也会培训IT人员怎样更好地防护自身网络。
第三支是渗透测试队伍。他们与海军采购部门合作,在海军购进的潜艇、黑匣子及其他设备上做渗透测试。
军事化网络安全是一副360度无死角的安全视图,包括了威胁、攻击方法、漏洞、防御策略,以及人员教育和培训。其宗旨是“监测、评估、获取数据、分析数据,并尽快将分析结果反馈到系统和流程中,如同军事作战过程。
人为因素在这一过程中非常关键。
我的思想观念里,人的参与是绝对关键的。自动化很重要——这毫无疑问,离开自动化你干不了这些事情。但我个人在网络作战环境下的经验是:如果你没有掌握正确 技能的分析人员,并真正关注到那2%的异常行为事件,你将错过某些发现。这里我说的作战环境,是指与重量级对手作战,不单单是对付一小撮犯罪黑客。”沃尔斯以2013年塔吉特数据泄露事件举例。这家公司拥有最好的技术来保护他们的网络,也的确发现了可疑行为的迹象。但是,负责监视系统的人没有对警告给予足够的关注。为什么即使拥有世界上最好的技术并获得最好的自动分析结果,也无济于事呢?其关键在于:尽快发现异常以减少从察觉异常到伤害发生的时间差,这样企业才能有时间采取行动。在安全监测和异常行为检查变得常规之前,信息泄露事件还会不断地发生。
Filly Intelligence是另一家实施类军事化网络安全管理方法的公司,其常务董事萨默·沃登就出身自国家安全行动中心,企业的员工具备与军方情报机构类似的安全意识。
“我们给客户应用一套充分全面的方法,并在其中采用了我们基于情报的方法学。我们从一开始就与众不同,并在整套安全解决方案的实施中将与众不同贯彻下去。”情报方法学就是使用曾经在军方情报机构用过的同样方式和系统方法。沃登表示,这些技术是在军方或情报机构生涯的辛苦工作发展而成的。从受过训练的、经验丰富的情报行动的视角来改变我们对威胁的理解和提供安全的方式。
沃登和她的同事们习惯于以挑剔的眼光审视公司或企业面临的威胁。他们为客户定制的安全其最基本的立足点就在于对威胁的理解,对威胁真正产生的影响的理解之上。
随着技术的发展,工具的进步,加上攻击者狂热的动机,今天的威胁正变得越来越复杂和有效。一个好的团队需要真正理解并深入研究这些威胁的成因,如何减少和动态解决威胁,找到威胁的趋势并从中预测未来。基于这些,来为客户创建健康有效的安全环境。
无论是承包联邦机构的项目还是为私营产业和中小型企业服务,Filly Intelligence都采用同样的方法。顾问们从了解对客户而言什么是最重要的资产,什么因素业务影响最大,以及客户的关键信息是什么开始。然后,以反向工程的方式拿出一份安全解决方案。
“不仅仅是看到客户的漏洞,还要将自己置于黑客的思维模式中,去思考如果我要攻入这家公司我会怎么做?我会运用哪种策略?他们的系统有多坚固?我得动用多大的资源才能攻进去?”
下一步就是查看攻击的可能性和所造成的影响,然后拿出一份解决方案建议书给客户。这种解决方案并非一套无所不能的解决方案,因为所有的解决方案都是建立在具 体需求之上的。需要深入观察客户,理解他们做业务的方式,弄清哪些是需要保护的关键信息。综合这些因素,然后再尽力拿出一个即经济又实惠的解决方案,并具 备弹性的安全框架。这样做才算是真正的考虑到了企业及客户双方的利益。
保障企业安全需要有一种安全意识,在军队里称之为行动安全(OpSec)。它的重点在于培养时刻警醒的员工,识别威胁和正在发生的事情,真正的威胁来自哪里,谁想获取到数据以及用什么手段获 取数据都要保持清醒的认识。如果企业能做到这一点并培养出一个更具知识性和安全意识的员工群体,才能最大程度的缓解漏洞和安全事件发生的可能性,因为 80%的数据泄露都源于计算机操作的入口被黑客攻陷。
安全牛评
政府机构和军事情报部门更加不易被入侵的原因,部分在于这些机构中存在的保密文化氛围和严格遵守安全相关标准的人。因此,一个坚实可靠的安全环境的打造应该从人开始。不要把大把的预算投入到高耗费和新奇华丽的技术上,大投入未必等于真安全。真正起到核心作用的是企业采用的正确安全方案和良好的文化氛围--信息安全意识。