采用类军事化方法保卫网络安全

黑客攻击已经成为司空见惯的事情,零售、金融、医疗、娱乐、电商、电信 几乎各种行业领域的企业都遭遇过严重的网络攻击。

相比之下,我们极少听说军队、国防或者政府情报机构被黑客入侵。为什么呢?肯定不是因为他们没有遭受攻击,事实上这些机构更会是许多黑客攻击的重点目标,针 对这些机构的大规模攻击每天在发生。但由于这类对安全高度敏感的机构在网络安全上采取了类军事化的方法,绝大部分攻击只能无功而返。因此有人提出,既然军 事化的方法非常有效,那么为什么不让公司企业也采取这种方法来保卫自身的网络安全呢?

麦克 沃尔斯是网络安全公司EdgeWave的安全、运营和分析常务董事。他之前是军舰队网络司令部1030特遣部队的指挥官,最近刚刚退役。沃尔斯任指挥官期间负责超过40万人、300艘舰船和4千架飞机的网络指挥,在保卫美国政府数据库和改进海军计算机网络整体安全协议中曾起着重要作用。

黑客攻击已经成为司空见惯的事情,零售、金融、医疗、娱乐、电商、电信 几乎各种行业领域的企业都遭遇过严重的网络攻击。

相比之下,我们极少听说军队、国防或者政府情报机构被黑客入侵。为什么呢?肯定不是因为他们没有遭受攻击,事实上这些机构更会是许多黑客攻击的重点目标,针 对这些机构的大规模攻击每天在发生。但由于这类对安全高度敏感的机构在网络安全上采取了类军事化的方法,绝大部分攻击只能无功而返。因此有人提出,既然军 事化的方法非常有效,那么为什么不让公司企业也采取这种方法来保卫自身的网络安全呢?

麦克 沃尔斯是网络安全公司EdgeWave的安全、运营和分析常务董事。他之前是军舰队网络司令部1030特遣部队的指挥官,最近刚刚退役。沃尔斯任指挥官期间负责超过40万人、300艘舰船和4千架飞机的网络指挥,在保卫美国政府数据库和改进海军计算机网络整体安全协议中曾起着重要作用。

蓝队则做一些更具合作性的评估。他们会在IT人员陪同下接入网络,把相关数据带回实验室做进一步分析研究。之后会拿出一份报告,指出被分析的网络是否有任何异常。除了漏洞的评估环节,这支队伍同时也会培训IT人员怎样更好地防护自身网络。

第三支是渗透测试队伍。他们与海军采购部门合作,在海军购进的潜艇、黑匣子及其他设备上做渗透测试。

军事化网络安全是一副360度无死角的安全视图,包括了威胁、攻击方法、漏洞、防御策略,以及人员教育和培训。其宗旨是 监测、评估、获取数据、分析数据,并尽快将分析结果反馈到系统和流程中,如同军事作战过程。

人为因素在这一过程中非常关键。

我的思想观念里,人的参与是绝对关键的。自动化很重要 这毫无疑问,离开自动化你干不了这些事情。但我个人在网络作战环境下的经验是:如果你没有掌握正确 技能的分析人员,并真正关注到那2%的异常行为事件,你将错过某些发现。这里我说的作战环境,是指与重量级对手作战,不单单是对付一小撮犯罪黑客。 沃尔斯以2013年塔吉特数据泄露事件举例。这家公司拥有最好的技术来保护他们的网络,也的确发现了可疑行为的迹象。但是,负责监视系统的人没有对警告给予足够的关注。为什么即使拥有世界上最好的技术并获得最好的自动分析结果,也无济于事呢?其关键在于:尽快发现异常以减少从察觉异常到伤害发生的时间差,这样企业才能有时间采取行动。在安全监测和异常行为检查变得常规之前,信息泄露事件还会不断地发生。

Filly Intelligence是另一家实施类军事化网络安全管理方法的公司,其常务董事萨默 沃登就出身自国家安全行动中心,企业的员工具备与军方情报机构类似的安全意识。

我们给客户应用一套充分全面的方法,并在其中采用了我们基于情报的方法学。我们从一开始就与众不同,并在整套安全解决方案的实施中将与众不同贯彻下去。 情报方法学就是使用曾经在军方情报机构用过的同样方式和系统方法。沃登表示,这些技术是在军方或情报机构生涯的辛苦工作发展而成的。从受过训练的、经验丰富的情报行动的视角来改变我们对威胁的理解和提供安全的方式。

沃登和她的同事们习惯于以挑剔的眼光审视公司或企业面临的威胁。他们为客户定制的安全其最基本的立足点就在于对威胁的理解,对威胁真正产生的影响的理解之上。

随着技术的发展,工具的进步,加上攻击者狂热的动机,今天的威胁正变得越来越复杂和有效。一个好的团队需要真正理解并深入研究这些威胁的成因,如何减少和动态解决威胁,找到威胁的趋势并从中预测未来。基于这些,来为客户创建健康有效的安全环境。

无论是承包联邦机构的项目还是为私营产业和中小型企业服务,Filly Intelligence都采用同样的方法。顾问们从了解对客户而言什么是最重要的资产,什么因素业务影响最大,以及客户的关键信息是什么开始。然后,以反向工程的方式拿出一份安全解决方案。

我的思想观念里,人的参与是绝对关键的。自动化很重要 这毫无疑问,离开自动化你干不了这些事情。但我个人在网络作战环境下的经验是:如果你没有掌握正确 技能的分析人员,并真正关注到那2%的异常行为事件,你将错过某些发现。这里我说的作战环境,是指与重量级对手作战,不单单是对付一小撮犯罪黑客。 沃尔斯以2013年塔吉特数据泄露事件举例。这家公司拥有最好的技术来保护他们的网络,也的确发现了可疑行为的迹象。但是,负责监视系统的人没有对警告给予足够的关注。为什么即使拥有世界上最好的技术并获得最好的自动分析结果,也无济于事呢?其关键在于:尽快发现异常以减少从察觉异常到伤害发生的时间差,这样企业才能有时间采取行动。在安全监测和异常行为检查变得常规之前,信息泄露事件还会不断地发生。

Filly Intelligence是另一家实施类军事化网络安全管理方法的公司,其常务董事萨默 沃登就出身自国家安全行动中心,企业的员工具备与军方情报机构类似的安全意识。

我们给客户应用一套充分全面的方法,并在其中采用了我们基于情报的方法学。我们从一开始就与众不同,并在整套安全解决方案的实施中将与众不同贯彻下去。 情报方法学就是使用曾经在军方情报机构用过的同样方式和系统方法。沃登表示,这些技术是在军方或情报机构生涯的辛苦工作发展而成的。从受过训练的、经验丰富的情报行动的视角来改变我们对威胁的理解和提供安全的方式。

沃登和她的同事们习惯于以挑剔的眼光审视公司或企业面临的威胁。他们为客户定制的安全其最基本的立足点就在于对威胁的理解,对威胁真正产生的影响的理解之上。

随着技术的发展,工具的进步,加上攻击者狂热的动机,今天的威胁正变得越来越复杂和有效。一个好的团队需要真正理解并深入研究这些威胁的成因,如何减少和动态解决威胁,找到威胁的趋势并从中预测未来。基于这些,来为客户创建健康有效的安全环境。

无论是承包联邦机构的项目还是为私营产业和中小型企业服务,Filly Intelligence都采用同样的方法。顾问们从了解对客户而言什么是最重要的资产,什么因素业务影响最大,以及客户的关键信息是什么开始。然后,以反向工程的方式拿出一份安全解决方案。

安全牛评

政府机构和军事情报部门更加不易被入侵的原因,部分在于这些机构中存在的保密文化氛围和严格遵守安全相关标准的人。因此,一个坚实可靠的安全环境的打造应该从人开始。不要把大把的预算投入到高耗费和新奇华丽的技术上,大投入未必等于真安全。真正起到核心作用的是企业采用的正确安全方案和良好的文化氛围–信息安全意识。