總部位于佛羅里達州的數據中心和云計算提供商Atlantic.Net公司首席執行官MartyPuranik表示,網絡攻擊者在繞過現有控制方面變得越來越聰明。例如,網絡釣魚站點中現在有一半在地址欄中顯示有一個“掛鎖”,以誘騙人們認為他們是安全的網站。
據反網絡釣魚廠商PhishMe公司稱,2016年,只有不到3%的惡意網站使用SSL證書。該公司12月份發布的一份報告顯示,2017年該數字上升至31%,目前已超過49%。
Puranic表示,犯罪分子還可以使用泄露的密碼來編寫更具說服力的個性化網絡釣魚電子郵件。他說,“這些措施變得越來越完善,越來越復雜。”
遺憾的是,數據中心的網絡安全往往是被動的,其結果無法滿足實際的安全需求。
數據中心網絡安全
遵循安全框架
一些組織提供網絡安全框架,可以幫助數據中心為其網絡安全規劃奠定堅實的基礎。除了特定行業垂直行業的特定監管制度,如支付行業的PCI和醫療保健的HIPAA,還有通用框架。
最受歡迎的是美國國家標準與技術研究院(NIST)發布的網絡安全框架,該框架已經實施了5年的時間,不僅用于政府部門(強制性采用),也用于私營企業。截至今年1月底,該框架的下載量已超過50萬次。最近,它是俄亥俄州新數據保護法案中公認的框架之一,該法案為企業提供了一個防范數據泄露訴訟的“安全港”。
美國國家標準與技術研究院(NIST)的網絡安全框架將安全性分解為五個關鍵功能:
1.識別
專注于容易做的事情是很誘人的。當然,這可能會導致數據中心實際需要的內容與安全性方面的不平衡。
因此,美國國家標準與技術研究院(NIST)網絡安全框架的第一階段是識別組織的網絡安全風險,并根據組織的風險管理策略和業務需求確定這些風險的優先級。這是企業高級管理層的決定,它應該考慮到不同系統和不同類型數據的不同安全要求。
許多組織沒有充分掌握所有寶貴資產的位置以及如何獲得安全保障。許多人不知道他們的員工可以訪問的所有云計算服務或連接到他們網絡的所有設備。
2.保護
對于每個關鍵風險領域,數據中心都需要有相應的控制措施。例如,如果最大的擔憂之一是未經授權的用戶訪問關鍵系統,那么這些控制可能包括多因素身份驗證、最低權限密鑰管理系統和行為分析。
如果勒索軟件攻擊是主要風險,受感染的員工電腦是主要載體,那么電子郵件過濾器、端點保護系統和員工安全培訓計劃將得到保證。
在Equifax漏洞的情況下,其風險在于使用開源軟件而沒有全面的補丁管理策略。
總部位于加利福尼亞州MountainView的CybeSecurity公司技術傳道者TimMackey說:“供應商可以通過商業軟件解決方案將安全信息推送給消費者。”
現在沒有人在推動開放源代碼工具和庫的發展,因此數據中心需要一種方法來掌握他們所使用的開放源代碼組件的最新庫存,從而保持領先地位。偶爾掃描一次環境并不是一種適當的策略,因為一旦發現新的漏洞,犯罪分子就能迅速采取行動。
網絡安全是組織花費大量精力和大部分資金的一個領域。幸運的是,網絡安全預算正在上升。根據最近的一項調查,65%的數據中心IT經理預計今年網絡安全預算會增加,并且沒有人預計這些預算會下降。
Atlantic.net公司的Puranik表示,雖然攻擊者越來越聰明,但安全廠商也在不斷發展,使他們的產品更易于使用、更全面、更智能。他說,一些新的供應商提供安全即服務。商業網絡安全解決方案可以提供優于自制網絡安全解決方案的優勢,因為它們更易于使用,并且供應商不斷升級其脆弱的數據庫。
他說:“此外,許多公司都具有自適應人工智能能力,可以檢測到尚未完全了解的新威脅。”
但是,總部位于加利福尼亞州圣克拉拉市的網絡安全供應商Centrify公司總裁TimSteinkopf指出,組織不能為了擺脫困境而購買市場上的每一種安全工具。
3.檢測
美國國家標準與技術研究院(NIST)框架的最后三個方面涵蓋了在發生違規行為時應采取的措施。
首先,組織需要能夠檢測到存在問題。
4.響應
接下來,它需要能夠以包含損害的方式作出響應。如果發生嚴重災難、重大停機或數據丟失,應急響應計劃還可能包括公共關系團隊、法律顧問、法醫專業人員和其他關鍵專家。
5.恢復
最后,組織需要能夠從攻擊中恢復。
因此,例如,如果網絡釣魚電子郵件感染員工的電腦中有惡意軟件,則檢測可能來自防病毒或端點保護系統。如果失敗,網絡監控系統可能能夠檢測到可疑流量。下一步可能是隔離受感染的系統,并檢查感染是否傳播到其他地方。最后,恢復階段可能涉及擦除系統,并重新安裝電腦的映像文件,然后從備份系統檢索用戶的文件。
測試
在美國國家標準與技術研究院(NIST)框架下沒有自己的功能類別的一個領域就是測試。但測試應該是任何網絡安全計劃的重要組成部分。
瞻博網絡公司安全策略總監LaurencePitt表示:“數據中心經理了解網絡攻擊的弱點的最好方法是測試他們的數據中心。將網絡安全漏洞程序作為一項現場演習,看看會發生什么。”
有些第三方公司會試圖突破組織的外圍,尋找不安全的云存儲桶,或掃描泄露的密碼。甚至有些公司會對員工進行模擬網絡釣魚攻擊。
Pitt說:“人們希望通過創建一個網絡安全控制列表,只需勾選復選框即可。”他指出,但是除非進行演習,并定期進行,否則不知道是如何合作的,也不知道存在什么差距。
