网络攻击强劲,微软中招!企业风控的几大反思!
发布时间:2022-04-01 05:13:57 所属栏目:安全 来源:互联网
导读:360政企安全对外披露了美国国安局(NSA)针对中国境内目标采用的Quantum网络攻击平台的技术特点,并证明了其无差别化网络攻击,不但能够劫持世界任何角落的页面流量,而且可以实施零日(0 day)漏洞利用攻击,并远程植入后门程序。 对此次入侵,微软表示,我
360政企安全对外披露了美国国安局(NSA)针对中国境内目标采用的Quantum网络攻击平台的技术特点,并证明了其无差别化网络攻击,不但能够劫持世界任何角落的页面流量,而且可以实施零日(0 day)漏洞利用攻击,并远程植入后门程序。 对此次入侵,微软表示,“我们的网络安全响应团队迅速参与修复受损帐户,并防止黑客组织进一步活动。” 一票否定式:通过代码逻辑和用户场景的构建,在有恶意行为出现时,中断其所有进程。例如:如果有用户在访问某个网站时,试图进行跨站脚本注入攻击,那么其任何操作行为及其会话就应当被直接阻止。 他山之石式:在缺乏安全专家的团队中,可以通过业界常用的威胁模型与管控模型,来提前识别应用组件可能面临的潜在风险,并选取最佳防护措施。 川流不息式:利用自动化监控手段和获取的多种输入参数,将对于运行环境与用例的风险评估,集成到软件服务整个生命周期中。 此外,在软件应用的构建中,我们也需要落实如下方面: 针对不同的应用服务,设置不同的用户职能组别。 通过加密等方式,避免在应用数据的传输过程中,泄漏任何密码、口令、证书或私钥信息。 在清点并填写具体内容之前,我们需要事先做好条目的分类与定义,以保证生成的清单具有统一性和规范性。而在实践中,我们需要以数据的特征与状态为依据,去发现那些存储着静态数据的有形硬件设备,处理着实时数据的软件应用,承载着动态数据的网络,包含着结构化数据的数据库,存放着非结构化数据的云平台,以及被用于持续读写数据的文件服务器与用户终端。 为了保证准确性,我们可以采用“自动化工具发现 + 人工录入 + 二次审核”的方式,构建出全面、完整、直观的系统基线。这将是我们后期进行整改的参考标准。 风险管控:运营风险识别及应对 一些开发者或许会疑惑:有哪些影响C、I、A的因素呢?此时我们就需要来识别运营环境中针对组件与数据的外部威胁、内部弱点、以及组合到一起形成的风险了。通常,我们可以采取如下四步来识别风险: 1、收集与识别:根据过往的记录、以及业界经验,招集不同角色的人员,使用头脑风暴、问卷访谈、矩阵图表等方法,识别现有环境中的隐患。例如: (1)技术层面上:软、硬件介质的故障与损坏、应用系统的自身缺陷、恶意软件的死锁、以及网络上的各种拒绝服务的攻击等。 (2)支撑系统层面上 :机房停电、漏水、以及运营商网络中断等。 (3)人为层面上:访问挂马的网站、各种操作性的失误、以及文件数据被误改或篡改等。 (4)管理层面上:人员意识的缺乏、处置方式的错误、以及规章制度的不完善等。 2、分析与评估:运用定性/定量等不同的方法,对已发现的风险从程度、范围、以及可能性三个维度进行评估与排序,进而得出风险等级矩阵。在实际中,我们可以参考如下的界定标准进行风险的量化: (1)损害的程度 – 轻微、一般、较大、严重、特大等。 (2)影响的范围 - 整个企业、所有外部客户、多个分站点、某个部门、部分系统、单个服务等。 (3)发生的可能性 – 可考虑物理与逻辑上所处的区域、自身的容错能力、等级保护与合规的达标情况等。 3、应对与处置:我们需要根据本企业的风险偏好(即风险接受程度),在通用的风险减轻、转移、规避、以及接受等处置方法中进行选择,并予以应对。其中,我们需要对如下两个方面引起重视: (1)根据木桶原理,我们应当注意处置措施的一致性,以免出现局部“短板”。 (2)在分清风险的所有者、以及控制实施者的基础上,兼顾时间、预算等成本,灵活调整各项管控策略。 下面,我以某个云端业务环境为例,来讨论如何在事件监控与响应的整个生命周期中,实施管理和控制。 检测与识别阶段:分别抓取和过滤来自各个虚拟机的系统事件、以及基于网络的异常流量信息,然后持续将经过筛选的日志信息写入HBase数据库,为后期的各种关联分析、以及必要的取证提供重要依据。 调查与分析阶段:运用工具按照特征代码,对事件的种类予以分组、对事件的发生频率进行统计。同时,我们可以引入应用性能分析(APM)模块,精确地定位是在应用服务的哪个URL处出现了访问速度的骤降,或是用户在提交哪个SQL语句时出现了延时,以便更快地定位根本问题。 抑制与补救阶段:可以通过暂停出问题的虚机镜像,来隔离它与其他系统及服务之间的逻辑联系,此举既不会破坏该虚机上的证据,又能够阻止事态的恶化。 (编辑:航空爱好网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐