当涉及到保护企业数据时,我们可以想象这样的画面,IT领导者一只脚才在夹板上,另一只脚在船上,然后看着小船慢慢飘走。移动、云计算和大数据技术正在拖动企业进入未知的水域,而数据端点正在远离IT部门的控制。
与此同时,基础设施现在只是勉强能够处理现有的威胁,更别说新的威胁。IT部门经常没有足够的人力或技能来处理不断增长的安全需求。
频频发生的企业安全泄露事故更是让企业倍感压力。在2013年,Verizon公司在其年度安全泄露调查报告中,报告了超过63000次安全事故以及 1367次已证实的数据泄露事故。根据身份盗窃资源中心表示,在今年的上半年,约395起数据泄露事故被报告给了美国监管机构。
“我们已经打破了我们企业的外围,”IT安全产品和服务供应商Accuvant公司企业安全和风险副总裁Chris Gray表示,“我们正在外包,我们正在转移一切到云中,我们正在实现移动化,允许移动访问资源,这是我们以前从来没有想过的。”因此,他补充说,“我们也为攻击者打开了更多大门,现在我们不只是查看一个位置,而需要查看50个位置,这让我们面临着更大的问题。”
但我们并不是完全在愁云惨雾之中。在Verizon分析的超过90%的数据泄露事故都符合9种不同的安全模式。安全专家称,通过新技术提供的机会,我们有办法来平衡安全风险。下面是在今年值得考虑的5个数据安全技术。
1. 端点检测和响应解决方案
为了重新获得控制权,企业正在考虑可以检测、纠正甚至预测安全泄露事故的自动化工具。安全供应商RedSeal Networks公司首席技术官Mike Lloyd表示:“如果企业人手不够或者没有所需的人才,或者需要监测的接入点数量太多,自动化工具非常好用。”
端点威胁检测和响应工具可以帮助企业对平板电脑、手机和笔记本电脑进行持续保护,检测高级威胁。这些工具可以监测端点和网络,以及存储数据在集中式数据库。然后使用分析工具来持续搜索数据库,以帮助提高安全状态,转移常见攻击,提供对持续攻击(包括内部威胁)的早期发现以及快速响应这些攻击。这些工具还可以帮助IT安全人员快速调查攻击的范围以及阻止攻击。
保险提供商Cigna-HealthSpring想要更加积极主动地监测其移动设备的安全性。安全和合规IT主管[注]Anthony Mannarino表示,在未来两年,该公司发放给员工的iPad和iPhone数量有可能会翻一倍,随着该公司添加更多在线应用程序以及提供更多报表功能。
HealthSpring使用Absolute Software公司的Computrace产品来监控和追踪员工的移动设备,使用这个软件的好处包括“知道设备上有什么,并能够远程擦除它”。新的软件功能让HealthSpring可以实时检查设备,他表示:“我们可以构建业务区域,当设备离开某个区域,它将会发出警报,在用户意识到数据丢失之前,我们可以采取积极主动的做法。”
2. 沙盒技术
不可避免的是,有些恶意软件或攻击者还是会渗透到安全边界。为确保在这种情况下其数据的安全性,企业可以做的最简单的事情是使用沙盒技术,该技术可以自动隔离已经在网络设备中检测到的可疑恶意软件。研究公司IDC的分析师Pete Linstrom表示,在恶意软件被隔离后,会完全远离活跃的系统,沙盒工具将会运行该应用程序并分析其潜在影响。他表示:“监测活动的结果和寻找在成功执行后背后的恶意事物是抵御恶意软件的关键。”
FireEye等供应商提供的专用沙盒工具可以完成这个工作,但可能很昂贵。而其他安全供应商正在添加沙盒功能到现有的产品。他表示:“防病毒供应商添加该功能并不是稀罕事,并且大多数网络安全供应商也具有一些沙盒功能。”
Cigna-HealthSpring使用FireEye的沙盒应用程序,“他们可以看到威胁,并在沙盒环境中运行它以看看它的活动,并且可以阻止它,”Mannarino表示,“如果这个工具报告称它正在试图连接到某个国家的站点,我们就可以进入我的web过滤技术,并确保我们可以阻止这些站点。”对于很多公司来说,最棘手的部分可能是理解和分析该工具发现的结果,但有服务可以帮助你分析这些结果。提供这种服务的供应商包括DataHero和 ClearStory Data。
Linstrom预测沙盒技术将会在未来两年前成为安全产品中的标准组件。
3.安全分析
大多数安全团队都面对着来自各种终端和安全产品的海量数据。Lloyd表示:“问题是他们缺乏可操作的决策指标。”分析正在成为安全功能的基石。展望未来,Gartner预测,所有有效的安全保护平台将会包含特定领域嵌入式分析,作为其核心功能。到2020年,40%的企业将会具有“安全数据仓库”来存储和监控数据,以支持事后分析。随着时间推移,这些数据以及其他情报信息将会为正常活动创建基准数据,并找出偏差数据。
美国第三大医疗系统Broward Health部署了各种安全技术来保护其企业数据,但该公司IT副总裁Ronaldo Montmann仍然没有了解全局视图。“我们有下一代防火墙,最好的入侵防御系统,数据丢失防护系统,身份管理解决方案,但它们都是各自运行。”除了完整的系统,他还想要能够预测未来漏洞。
“我们想看看是否能够利用我们为金融和临床系统购买的大型分析软件,利用它来查看事件以及关联这些事件,让我们可以预测和理解他们的关系。”
但这同时还需要了解各种技术的高级人员团队,可以协同工作来积极维护网络技术。
一种协议算法会检查服务器、交换机和工作站的事件日志,并收集人类通常无法处理的信息,这些数据被分析来关联网络中的事件。Montmann表示:“我们正在试图设计一个环境,让我们能够了解网络中正在发生的情况,也许不同的奇怪行为可以让我们了解是否存在恶意软件或者攻击者。”Montmann表示他希望在2015年第一季度部署好这个分析团队。
4. 云安全网关
怀俄明州在8月份宣布计划终止其大部分数据中心运营,以及转移其物理设备到商业托管设施。他们将会继续在托管中心管理其自己的物理服务器,但这种外包措施是他们更广泛计划的一部分,即转移该州的计算资源到云服务。毫无疑问,当涉及保护云中的数据时,安全将会是首要问题。
使用云计算服务的企业应该考虑云安全网关。这些内部部署或基于云的安全政策执行点被放置在云服务消费者和云服务提供商之间,以在云资源被访问时插入企业安全政策。
Linstrom表示:“这真的是未来的浪潮,关于IT人员如何对云计算架构获取可视性和控制。”像云计算统一威胁管理器一样操作,云安全网关提供访问安全或政策执行,但他们使用分析来监控活动(+微信关注网络世界),在后端处理数据丢失防护功能,以及采用通信加密,以及对结构化和非结构化数据的加密。云安全网关可以完全部署在云计算中或者作为边缘型设备进行部署。Linstrom补充说:“当你转移到云计算时,你通常会失去可视性和控制,而这是解决这个问题的非常有用的方法,而且它也不是特别贵。”
5. 自适应访问控制
除了锁定数据的需求,IT部门还需要支持业务操作,允许各种各样的移动设备访问企业系统。为了保持数据的安全性,Gartner公司建议使用自适应访问控制,这种环境感知访问控制能够平衡信任水平与风险水平,通过使用信任提升以及其他动态风险缓解技术。环境感知意味着关于谁被授权以及没有授权的决策反映了当前的情况,动态风险缓解意味着允许安全的访问而不会被阻止。这种访问管理架构让企业可以在任何情况下对任何设备提供访问权限,并能够根据用户的风险情况对各种企业系统设置不同水平的访问权限。
Gartner还推荐其他安全技术和技巧,包括使用第三方提供的机器可读威胁情报服务,以及采用限制和隔离作为基本的安全战略,在这种方法中,未知的一切事物都被视为不可信任。该研究公司建议安全专业人士考虑的其他技术包括软件定义安全,其中安全功能被嵌入到所有新的应用程序,以及交互式应用程序安全测试,其中结合了静态和动态技术在单个解决方案中。
选择安全技术
在决定是否以及何时部署这些即将推出的安全技术时,这主要取决于企业的结构以及被认为是有价值的数据的数量及类型。Accuvant公司技术解决方案做法主管David Brown表示,“你的数据是如何被使用,谁需要访问这些数据,你的预算如何,”不仅是对技术,还有支持技术的人员。例如“安全分析是很好的解决方案,但它还需要很多聪明人来管理。”
在最后,这主要是关于平衡风险以及发展业务的机会。
Mannarino表示,“总是有可接受水平的风险,确定和协议这种风险水平通常需要多方参与:法律部门、领导层、人力资源部门以及业务人员,来决定最佳水平。”Lindstrom认为IT的风险水平确实在增加,但这是经济繁荣发展的结果。
“如果你对技术风险管理采取经济学的方法,你就会权衡,”他指出,“大多数人都在这样做,了解风险性质,管理风险,而不要让它来管理你。”