开发者社区> 云栖大讲堂> 正文

网络安全:保护总统的特勤局值得我们学习

简介:
+关注继续查看

美国特勤局的核心使命是保护美国总统,自特勤局开始保护总统起的110年里,只有7名攻击者切实侵入到了总统身边,且只有1名完成了他的任务,尽管总统每年都有数百场公众活动,任期内要会见成千上万人,特勤局依旧保持着这几近不败的记录,可谓战绩彪炳。

网络安全防御者面临类似的问题:他们要防护必须被保护的高价值资产,同时又不得不跟成百上千台其他服务器通信。不过,我们的网络安全记录可不怎么好看——2015年一年就发生了2260起数据泄露事件,绝大多数入侵者还是几分钟之内就攻破系统,而大多数防御者要几天之后才醒悟到泄露的发生。

特勤局一直以来都面对各种重大挑战,也将继续面对下去。不过,任何如此成功地应用了制度偏执的组织,必然在安全领域有可供他人参考的地方。

以下便是网络安全防御者可从特勤局习得的4招:

1. 你保护不了自己都看不见的东西

护卫任何地方的第一步,就是发现潜在的攻击路线。但即便到了今天,大多数网络安全防御,还是建立在靠记忆在餐巾纸上画出的网络拓扑一样的东西上。

事实上,近些年的每个重大入侵,都依赖攻击者对目标网络有着比防御者更好的认知上。2014 Carbanak 银行劫案就是个绝佳案例——数百次入侵,偷掉10亿美元,每次入侵都耗费上至4个月时间对目标网络进行侦察。更近一些的入侵,从孟加拉央行到美国人事管理局(OPM),也都符合相同的模式。

防御者常常对他们数据中心的实时运营只有最小的可见性,意味着他们知道自己的系统该怎样运转,但不知道它们实际上在怎么运行。攻击者就利用了这一缺口。特勤局会从攻击者的角度描绘运作环境,不这么干的防御者面对如今普遍调查详细决心坚定的入侵,自然就特别脆弱漏洞百出了。

2. 仅有可见性还不够——必须减小自己的攻击界面

无论是用绳索、栅栏、高墙还是帐篷,特勤局绝少会留掌控不到的地方。每块环境都有很多攻击路线,全部监视起来将会耗尽所有可用资源。但通过限制通向总统的路径,特勤局减少了风险,也能将资源集中到最有效的地方。

笔者当前职业,是带领团队周期性分析数据中心和云环境,帮助企业发现并关闭他们的攻击界面。我们发现,即使只有100台服务器的数据中心,服务器之间也存在有几十万个开放的端到端的通信路径。监视这么多路径,会让防御者淹没在警报和误报中,也就让公司无法分辨出究竟哪个才是最重要的。我们还发现,很多公司只用了不到3%的路径,引出一个简单的问题:那为什么要留着其他的开放端口呢?适应性分段就是数字版路障和绳线,是让网络安全防御者去除噪音,专注严重威胁的基础。

3. 给你的安全划分优先级

限制了攻击路线数量,形成最大风险的那些威胁便显露出来了。特勤局将其最宝贵资源——特工和监视摄像头,放置在最重要的交叉口和路径上。

很多网络安全防御者还在试图以平等对待每个服务器的方式保护他们的数据中心。如果你不视觉化自己的数据中心并采取措施减小攻击界面,那你别无选择,只能这么干。但这么做,会将防御者置于极度不利的地位,因为你服务器之间有几十万条那么多的路径,几乎不可能分辨出哪些是最重要的。而一旦我们对环境采取控制,减少这些通路,最危险的开放路径就会浮现出来:哪些路径可以让攻击者从开发移动到产品?哪些路径会让攻击者接触到高价值资产?

正如简化环境让特勤局得以更好地遂行护卫工作,简化服务器间的通信路径,也意味着你可以更快识别出数据中心里最危险的点,更有效地使用所有其他安全工具——蜜罐、入侵检测系统、行为分析、狩猎等等。

4. 专注于最有价值资产的安全后果

特勤局主要忧心总统面临的威胁的邻近度。有人穿越白宫栅栏就是个问题,因为这会让他们离总统更近。但这不意味着特勤局指望没人越过栅栏。实际上,有入侵者越过栅栏,但在草坪上被制服,正是安保应有的工作模式。栅栏阻挡了很多潜在闯入者,拖慢了闯入意志更坚定的人,这样他们就能在走得更远之前被阻住。

网络安全防御者依然经常觉得,任何对他们数据中心的入侵都意味着安保失败。但统计数据越来越证明,将全部入侵者当在边界之外是不可能的。最近的一个研究发现,2015年,75%的公司企业都至少被侵入过1次。特勤局明白这一挑战,因为他们从未依赖仅仅一层防御。深度防御是网络安全专家讨论了有些时日的概念,但很多数据中心依然是只要攻击突破边界就束手无措的状态。

入侵者有两个目的:收集目标环境的信息,以及利用这些信息对高价值资产搞破坏。与其专注边界,将之作为最重要的防线,我们更应该转变思维,将环绕高价值资产的围栅筑成最高的围墙。防线离高价值资产越远,将“识别”作为我们的目标就越重要——而不是100%的抗渗性。如果入侵者越过了外层边界,但在穿越草坪时被抓住,那并非失败的标志——而是安全系统照常运作的标志。


作者:nana

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
18794 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
25137 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载