在大多數(shù)信息安全會(huì)議上，安全研究人員都會(huì)展示他們可如何繞過(guò)你企業(yè)中使用的關(guān)鍵安全控制，這些研究人員通常會(huì)展示他們?nèi)绾卫寐┒椿蚋拍钭C明攻擊來(lái)控制你整個(gè)企業(yè)。例如在2015年歐洲黑帽大會(huì)上，安全研究人員Ian Haken展示了可如何繞過(guò)Microsoft BitLocker，這意味著全磁盤加密面臨威脅。在同一個(gè)會(huì)議，安全專家Haroon Meer談到信息安全行業(yè)如何未能保護(hù)我們的企業(yè)。這兩個(gè)演講都表明企業(yè)需要快速調(diào)整其安全方案來(lái)應(yīng)對(duì)新的正在出現(xiàn)的威脅。

[[162539]]

在本文中，讓我們來(lái)看看企業(yè)安全方案的發(fā)展以及如何作出調(diào)整來(lái)應(yīng)對(duì)新出現(xiàn)的威脅。

企業(yè)安全方案的發(fā)展

信息安全起初只是由密碼、防火墻和防病毒軟件組成，隨后迅速發(fā)展到更安全的密碼、下一代防火墻、反惡意軟件工具等。當(dāng)然還有很多顯著的改進(jìn)，但很多企業(yè)安全方案還沒(méi)有從核心安全控制繼續(xù)發(fā)展，或者還沒(méi)有學(xué)習(xí)如何將不斷變化的風(fēng)險(xiǎn)緩解納入其安全方案。

例如，全磁盤加密(FDE)已經(jīng)成為很多企業(yè)的核心安全控制，但Haken的研究表明有關(guān)FDE先前的假設(shè)需要進(jìn)行更新以反映他的新研究。很多企業(yè)決定部署透明的FDE，因?yàn)檫@可最小化對(duì)最終用戶的影響，并至少需要他們改變其行為。雖然這比沒(méi)有部署透明的FDE更安全，但這種做法的安全性其實(shí)比不上其他可用選項(xiàng)，因?yàn)檫@個(gè)過(guò)程對(duì)用戶不可見(jiàn)，且不需要額外的密碼或身份驗(yàn)證。

Haken的攻擊是繞過(guò)域名賬戶的身份驗(yàn)證，還允許攻擊者繞過(guò)BitLocker、微軟針對(duì)Windows的FDE功能，但這個(gè)攻擊需要登錄到管理員賬戶以及物理訪問(wèn)到客戶端設(shè)備。潛在的緩解方法包括使用BIO密碼、預(yù)啟動(dòng)身份驗(yàn)證或安裝微軟的補(bǔ)丁程序。他在結(jié)束時(shí)說(shuō)道，當(dāng)威脅模式變化時(shí)，“你需要重新評(píng)估以前的安全選項(xiàng)”。

對(duì)于已經(jīng)部署透明FDE的企業(yè)而言，應(yīng)該評(píng)估身份驗(yàn)證和FDE繞過(guò)對(duì)其企業(yè)的影響以及未來(lái)可能出現(xiàn)的繞過(guò)，以確定使用透明的FDE是否是可接受的風(fēng)險(xiǎn)，或者是否還需要部署其他的安全控制。這種新攻擊可能推動(dòng)一些企業(yè)從使用透明的FDE到在其FDE部署中要求預(yù)啟動(dòng)身份驗(yàn)證。這是企業(yè)安全方案應(yīng)基于有關(guān)威脅和漏洞的新信息來(lái)進(jìn)行調(diào)整的例子。

如何調(diào)整企業(yè)安全方案

圍繞如何調(diào)整企業(yè)安全方案的挑戰(zhàn)并不是新鮮事，但隨著更多資源投入到信息安全，并且企業(yè)董事會(huì)都已經(jīng)參與其中，這項(xiàng)工作已經(jīng)開(kāi)始受到嚴(yán)格的審查。正如Meer在其演講中所指出的，董事會(huì)現(xiàn)在開(kāi)始詢問(wèn)或者將會(huì)詢問(wèn)為什么他們?cè)谛畔踩矫娴耐顿Y未能充分保護(hù)其企業(yè)。

企業(yè)本身不太可能了解每個(gè)信息安全大會(huì)或新的研究報(bào)告，但企業(yè)可關(guān)注威脅情報(bào)服務(wù)或其他機(jī)制發(fā)現(xiàn)的新漏洞和新興威脅，并將這些數(shù)據(jù)整合到其信息安全方案中。企業(yè)可使用特定行業(yè)的信息共享，了解攻擊中經(jīng)常使用的惡意軟件、漏洞或攻擊技術(shù)，以確定需要解決的最高優(yōu)先級(jí)事項(xiàng)。此外，企業(yè)還可在其信息安全風(fēng)險(xiǎn)管理方案中使用這些數(shù)據(jù)來(lái)評(píng)估風(fēng)險(xiǎn)、確定風(fēng)險(xiǎn)水平以及適當(dāng)?shù)木徑獯胧?，進(jìn)一步調(diào)整其信息安全方案。

所有這些不同的步驟可包括在企業(yè)的風(fēng)險(xiǎn)管理程序中，并用于根據(jù)這些評(píng)估的風(fēng)險(xiǎn)來(lái)更新安全方案。對(duì)于發(fā)現(xiàn)的重大風(fēng)險(xiǎn)，企業(yè)應(yīng)該執(zhí)行更深入的風(fēng)險(xiǎn)評(píng)估來(lái)確定適當(dāng)?shù)膶?duì)策。這將可防止企業(yè)做出可能帶來(lái)負(fù)面影響的調(diào)整，而不是正面影響的挑戰(zhàn)。

企業(yè)在準(zhǔn)備進(jìn)行這些變更時(shí)，需要的不僅僅是企業(yè)安全方案和人員;IT所有人員以及很多最終用戶都將可能需要參與。利益相關(guān)者還應(yīng)參與確定采取適當(dāng)?shù)牟襟E來(lái)保護(hù)企業(yè)。在較早期與利益相關(guān)者溝通并對(duì)潛在必要的變化保持透明化，利益相關(guān)者可幫助推動(dòng)這些必要的變更，例如當(dāng)企業(yè)在確定現(xiàn)在是否需要預(yù)啟動(dòng)身份驗(yàn)證來(lái)保護(hù)FDE的端點(diǎn)時(shí)。這些變化可能是非常規(guī)的，但可為保護(hù)企業(yè)提供最佳方案。

結(jié)論

在40年間，企業(yè)信息安全已經(jīng)走過(guò)了漫長(zhǎng)的道路--從最早抵御腳本小子到現(xiàn)在保護(hù)瞬息萬(wàn)變的IT環(huán)境免受現(xiàn)代高級(jí)持續(xù)威脅。對(duì)于新出現(xiàn)的威脅和新風(fēng)險(xiǎn)，企業(yè)可在其信息安全風(fēng)險(xiǎn)管理方案中采取一些額外的措施來(lái)應(yīng)對(duì)。有些信息安全團(tuán)隊(duì)可能會(huì)對(duì)這樣的變化猶豫不決，但面對(duì)BYOD、物聯(lián)網(wǎng)和云計(jì)算帶來(lái)不斷變化的IT環(huán)境，企業(yè)需要準(zhǔn)備做出迅速變化來(lái)保護(hù)企業(yè)。