4000-110-253
數(shù)據中心網絡安全檢查清單的必備品. 2019-07-19
對于數(shù)據中心管理(lǐ)人(rén)員來(lái)說,網絡威脅環境的變化比以往任何時(shí)候都要快。2018年,網絡犯罪分子在勒索軟件、商業電(diàn)子郵件洩露和(hé)其他惡意計(jì)劃中創下了更高(gāo)的記錄,預計(jì)他們将會(huì)投入更多(duō)的資金用于開(kāi)發新的攻擊方法和(hé)平台。
總部位于佛羅裏達州的數(shù)據中心和(hé)雲計(jì)算(suàn)提供商Atlantic.Net公司首席執行(xíng)官Marty Puranik表示,網絡攻擊者在繞過現有(yǒu)控制(zhì)方面變得(de)越來(lái)越聰明(míng)。例如,網絡釣魚站(zhàn)點中現在有(yǒu)一半在地址欄中顯示有(yǒu)一個(gè)“挂鎖”,以誘騙人(rén)們認為(wèi)他們是安全的網站(zhàn)。
據反網絡釣魚廠商PhishMe公司稱,2016年,隻有(yǒu)不到3%的惡意網站(zhàn)使用SSL證書(shū)。該公司12月份發布的一份報告顯示,2017年該數(shù)字上(shàng)升至31%,目前已超過49%。
Puranic表示,犯罪分子還(hái)可(kě)以使用洩露的密碼來(lái)編寫更具說服力的個(gè)性化網絡釣魚電(diàn)子郵件。他說,“這些(xiē)措施變得(de)越來(lái)越完善,越來(lái)越複雜。”
遺憾的是,數(shù)據中心的網絡安全往往是被動的,其結果無法滿足實際的安全需求。
遵循安全框架
一些(xiē)組織提供網絡安全框架,可(kě)以幫助數(shù)據中心為(wèi)其網絡安全規劃奠定堅實的基礎。除了特定行(xíng)業垂直行(xíng)業的特定監管制(zhì)度,如支付行(xíng)業的PCI和(hé)醫(yī)療保健的HIPAA,還(hái)有(yǒu)通(tōng)用框架。
最受歡迎的是美國國家(jiā)标準與技(jì)術(shù)研究院(NIST)發布的網絡安全框架,該框架已經實施了5年的時(shí)間(jiān),不僅用于政府部門(mén)(強制(zhì)性采用),也用于私營企業。截至今年1月底,該框架的下載量已超過50萬次。最近,它是俄亥俄州新數(shù)據保護法案中公認的框架之一,該法案為(wèi)企業提供了一個(gè)防範數(shù)據洩露訴訟的“安全港”。
美國國家(jiā)标準與技(jì)術(shù)研究院(NIST)的網絡安全框架将安全性分解為(wèi)五個(gè)關鍵功能:
1. 識别
專注于容易做(zuò)的事情是很(hěn)誘人(rén)的。當然,這可(kě)能會(huì)導緻數(shù)據中心實際需要的內(nèi)容與安全性方面的不平衡。
因此,美國國家(jiā)标準與技(jì)術(shù)研究院(NIST)網絡安全框架的第一階段是識别組織的網絡安全風險,并根據組織的風險管理(lǐ)策略和(hé)業務需求确定這些(xiē)風險的優先級。這是企業高(gāo)級管理(lǐ)層的決定,它應該考慮到不同系統和(hé)不同類型數(shù)據的不同安全要求。
許多(duō)組織沒有(yǒu)充分掌握所有(yǒu)寶貴資産的位置以及如何獲得(de)安全保障。許多(duō)人(rén)不知道(dào)他們的員工可(kě)以訪問的所有(yǒu)雲計(jì)算(suàn)服務或連接到他們網絡的所有(yǒu)設備。
2. 保護
對于每個(gè)關鍵風險領域,數(shù)據中心都需要有(yǒu)相應的控制(zhì)措施。例如,如果最大(dà)的擔憂之一是未經授權的用戶訪問關鍵系統,那(nà)麽這些(xiē)控制(zhì)可(kě)能包括多(duō)因素身份驗證、最低(dī)權限密鑰管理(lǐ)系統和(hé)行(xíng)為(wèi)分析。
如果勒索軟件攻擊是主要風險,受感染的員工電(diàn)腦(nǎo)是主要載體(tǐ),那(nà)麽電(diàn)子郵件過濾器(qì)、端點保護系統和(hé)員工安全培訓計(jì)劃将得(de)到保證。
在Equifax漏洞的情況下,其風險在于使用開(kāi)源軟件而沒有(yǒu)全面的補丁管理(lǐ)策略。
總部位于加利福尼亞州Mountain View的CybeSecurity公司技(jì)術(shù)傳道(dào)者Tim Mackey說:“供應商可(kě)以通(tōng)過商業軟件解決方案将安全信息推送給消費者。”
現在沒有(yǒu)人(rén)在推動開(kāi)放源代碼工具和(hé)庫的發展,因此數(shù)據中心需要一種方法來(lái)掌握他們所使用的開(kāi)放源代碼組件的最新庫存,從而保持領先地位。偶爾掃描一次環境并不是一種适當的策略,因為(wèi)一旦發現新的漏洞,犯罪分子就能迅速采取行(xíng)動。
網絡安全是組織花(huā)費大(dà)量精力和(hé)大(dà)部分資金的一個(gè)領域。幸運的是,網絡安全預算(suàn)正在上(shàng)升。根據最近的一項調查,65%的數(shù)據中心IT經理(lǐ)預計(jì)今年網絡安全預算(suàn)會(huì)增加,并且沒有(yǒu)人(rén)預計(jì)這些(xiē)預算(suàn)會(huì)下降。
Atlantic.net公司的Puranik表示,雖然攻擊者越來(lái)越聰明(míng),但(dàn)安全廠商也在不斷發展,使他們的産品更易于使用、更全面、更智能。他說,一些(xiē)新的供應商提供安全即服務。商業網絡安全解決方案可(kě)以提供優于自制(zhì)網絡安全解決方案的優勢,因為(wèi)它們更易于使用,并且供應商不斷升級其脆弱的數(shù)據庫。
他說:“此外,許多(duō)公司都具有(yǒu)自适應人(rén)工智能能力,可(kě)以檢測到尚未完全了解的新威脅。”
但(dàn)是,總部位于加利福尼亞州聖克拉拉市的網絡安全供應商Centrify公司總裁Tim Steinkopf指出,組織不能為(wèi)了擺脫困境而購買市場(chǎng)上(shàng)的每一種安全工具。
3. 檢測
美國國家(jiā)标準與技(jì)術(shù)研究院(NIST)框架的最後三個(gè)方面涵蓋了在發生(shēng)違規行(xíng)為(wèi)時(shí)應采取的措施。
首先,組織需要能夠檢測到存在問題。
4. 響應
接下來(lái),它需要能夠以包含損害的方式作(zuò)出響應。如果發生(shēng)嚴重災難、重大(dà)停機或數(shù)據丢失,應急響應計(jì)劃還(hái)可(kě)能包括公共關系團隊、法律顧問、法醫(yī)專業人(rén)員和(hé)其他關鍵專家(jiā)。
5. 恢複
最後,組織需要能夠從攻擊中恢複。
因此,例如,如果網絡釣魚電(diàn)子郵件感染員工的電(diàn)腦(nǎo)中有(yǒu)惡意軟件,則檢測可(kě)能來(lái)自防病毒或端點保護系統。如果失敗,網絡監控系統可(kě)能能夠檢測到可(kě)疑流量。下一步可(kě)能是隔離受感染的系統,并檢查感染是否傳播到其他地方。最後,恢複階段可(kě)能涉及擦除系統,并重新安裝電(diàn)腦(nǎo)的映像文件,然後從備份系統檢索用戶的文件。
測試
在美國國家(jiā)标準與技(jì)術(shù)研究院(NIST)框架下沒有(yǒu)自己的功能類别的一個(gè)領域就是測試。但(dàn)測試應該是任何網絡安全計(jì)劃的重要組成部分。
瞻博網絡公司安全策略總監Laurence Pitt表示:“數(shù)據中心經理(lǐ)了解網絡攻擊的弱點的最好方法是測試他們的數(shù)據中心。将網絡安全漏洞程序作(zuò)為(wèi)一項現場(chǎng)演習,看看會(huì)發生(shēng)什麽。”
有(yǒu)些(xiē)第三方公司會(huì)試圖突破組織的外圍,尋找不安全的雲存儲桶,或掃描洩露的密碼。甚至有(yǒu)些(xiē)公司會(huì)對員工進行(xíng)模拟網絡釣魚攻擊。
Pitt說:“人(rén)們希望通(tōng)過創建一個(gè)網絡安全控制(zhì)列表,隻需勾選複選框即可(kě)。”他指出,但(dàn)是除非進行(xíng)演習,并定期進行(xíng),否則不知道(dào)是如何合作(zuò)的,也不知道(dào)存在什麽差距。
