搜索
信息安全新测评技术云端访问安全代理服务云端访问安全代理服务是部署在企业内部或云端的安全策略执行点,位于云端服务消费者与云端服务供应商之间,负责在云端资源被访问时套用企业安全策略。在许多案例中,初期所采用的云端服务都处于IT掌控之外,而云端访问安全代理服务则能让企业在用户访问云端资源时加以掌握及管控。适应性访问管控适应性访问管控一种情境感知的访问管控,目的是为了在访问时达到信任与风险之间的平衡,结合了提升信任度与动态降低风险等技巧。情境感知(Contextawareness)是指访问的决策反映了当下的状况,而动态降低风险则是指原本可能被封锁的访问可以安全的开放。采用适应性访问管理架构可让企业提供不限设备、不限地点的访问,并允许社交账号访问一系列风险程度不一的企业资产。全面沙盒分析(内容引爆)与入侵指标(IOC)确认无可避免地,某些攻击将越过传统的封锁与安全防护机制,在这种情况下,最重要的就是要尽可能在最短时间内迅速察觉入侵,将黑客可能造成的损害或泄露的敏感信息降至最低。许多信息安全平台现在都具备在虚拟机(VM)当中运行(亦即“引爆”)执行档案和内容的功能,并且能够观察VM当中的一些入侵指标。这一功能已迅速融入一些较强大的平台当中,不再属于独立的产品或市场。一旦侦测到可疑的攻击,必须再通过其他不同层面的入侵指标进一步确认,例如:比较网络威胁侦测系统在沙盒环境中所看到的,以及实际端点装置所观察到的状况(包括:活动进程、操作行为以及注册表项等)。端点侦测及回应解决方案端点侦测及回应(EDR)市场是一个新兴市场,目的是为了满足端点(台式机、服务器、平板与笔记本)对高阶威胁的持续防护需求,最主要是大幅提升安全监控、威胁侦测及应急响应能力。这些工具记录了数量可观的端点与网络事件,并将这些信息储存在一个集中地数据库内。接着利用分析工具来不断搜寻数据库,寻找可提升安全状态并防范一般攻击的工作,即早发现持续攻击(包括内部威胁),并快速响应这些攻击。这些工具还有助于迅速调查攻击范围,并提供补救能力。新一代安全平台核心:大数据信息安全分析未来,所有有效的信息安全防护平台都将包含特定领域嵌入式分析核心能力。一个企业持续监控所有运算单元及运算层,将产生比传统SIEM系统所能有效分析的更多、更快、更多元的数据。Gartner预测,至2020年,40%的企业都将建立一套“安全数据仓库”来存放这类监控数据以支持回溯分析。藉由长期的数据储存于分析,并且引入情境背景、结合外部威胁与社群情报,就能建立起“正常”的行为模式,进而利用数据分析来发觉真正偏离正常的情况。机器可判读威胁智能化,包含信誉评定服务与外界情境与情报来源整合是新一代信息安全平台最关键的特点。市场上机器可判读威胁智能化的第三方资源越来越多,其中包括许多信誉评定类的选择。信誉评定服务提供了一种动态、即时的“可信度”评定,可作为信息安全决策的参考因素。例如,用户与设备以及URL和IP地址的信誉评定得分就可以用来判断是否允许终端用户进行访问。以遏制和隔离为基础的信息安全策略在特征码(Signatures)越来越无法阻挡攻击的情况下,另一种策略就是将所有未知的都当成不可信的,然后在隔离的环境下加以处理并运行,如此就不会对其所运行的系统造成永久损害,也不会将该系统作为矢量去攻击其他企业系统。虚拟化、隔离、提取以及远程显示技术,都能用来建立这样的遏制环境,理想的结果应与使用一个“空气隔离”的独立系统来处理不信任的内容和应用程序一样。虚拟化与遏制策略将成为企业系统深度防御防护策略普遍的一环。软件定义的信息安全所谓的“软件定义”是指当我们将数据中心内原本紧密耦合的基础架构元素(如服务器、存储、网络和信息安全等等)解离并提取之后所创造的能力。如同网络、计算与存储的情况,对信息安全所产生的影响也将发生变化。软件定义的信息安全并不代表不再需要一些专门的信息安全硬件,这些仍是必不可少的。只不过,就像软件定义的网络一样,只是价值和智能化将转移到软件当中而已。互动式应用程序安全测试互动式应用程序安全测试(IAST)将静态应用程序安全测试(SAST)与动态应用程序安全测试(DAST)技术进行结合。其目的是要通过SAST与DAST技术之间的互动以提升应用程序安全测试的准确度。IAST集合了SAST与DAST最好的优点于一单一解决方案。有了这套方法,就能确认或排除已侦测到的漏洞是否可能遭到攻击,并判断漏洞来源在应用程序代码中的位置。针对物联网的安全网关、代理与防火墙企业都有一些设备制造商所提供的运营技术(OT),尤其是一些资产密集型产业,如制造业与公共事业,这些运营技术逐渐从专属通信与网络转移至标准化网际网络通信协议(IP)技术。越来越多的企业资产都是利用以商用软件产品为基础的OT系统进行自动化。这样的结果是,这些嵌入式软件资产必须受到妥善的管理、保护及配发才能用于企业级用途。OT被视为产业界的“小物联网”,其中涵盖数十亿个彼此相连的感应器、设备与系统,许多无人为介入就能彼此通信,因此必须受到保护与防护。信息安全技术方向方向之一:量子通信,代表技术:量子密码学、量子加密技术代表机构:UniversityofCambridge,UniversityOfBristol还有与其合作的Toshiba,国内的有中科大。因为这块主要跟物理相关,价值所在:理论上讲,如果量子通讯小型化和可靠性达到一个程度,现代密码学的一大问题,在不安全的公开信道的安全通信这块就完全解决了,采用量子加密技术,复杂的多方安全协议用于密码交换和协商,就不再需要了。目前可靠性仍然在提高中。方向之二:云计算方面:1.各种云计算系统(IaaS/PaaS/SaaS)本身的安全方案,这是传统的网络安全技术在云计算领域的延伸和重新分布,但并没有引入革命性的安全技术;2.利用云计算技术来加强传统的安全解决方案,如终端防病毒体系增加云查杀、云防火墙(实现防火墙集群的联动和动态安全策略更新);3.在云计算IaaS环境中实现可信计算的普及(基于虚拟TPM,逐级签名与信任传递,保护虚拟OS及核心服务的完整性);4.在云计算IaaS环境中实现安全解决方案的虚拟化,如虚拟防火墙、虚拟网络准入控制(NAC),实现租户自由组网及自定义访问控制;5.将安全特性包装成为云服务,如防攻击CDN;方向之三:大数据方面:大数据威胁情报技术1.利用大数据平台及建模,进行APT事件挖掘、事件分析。终端安全:2.各种新型终端的安全性。安全技术方面:3.密文检索、同态加密等;业务安全:这是安全从业者和业务都容易忽略的方面,安全人员要主动担起这一块的职责,贴近业务,私人定制,将安全与业务紧密结合。特别是涉及到交易、支付等场景。目前壮大的技术:①数据分析:数据分析是指用适当的统计分析方法对收集来的大量数据进行分析,提取有用信息和形成结论而对数据加以详细研究和概括总结的过程。这一过程也是质量管理体系的支持过程。在实用中,数据分析可帮助人们作出判断,以便采取适当行动。分析工具Excel作为常用的分析工具,可以实现基本的分析工作,在商业智能领域Cognos、StyleIntelligence、Microstrategy、Brio、BO和Oracle以及国内产品如YonghongZ-SuiteBI套件等。数据来源:1、搜索引擎蜘蛛抓取数据;2、网站IP、PV等基本数据;3、网站的HTTP响应时间数据;4、网站流量来源数据。步骤:数据分析过程的主要活动由识别信息需求、收集数据、分析数据、评价并改进数据分析的有效性组成。识别需求识别信息需求是确保数据分析过程有效性的首要条件,可以为收集数据、分析数据提供清晰的目标。识别信息需求是管理者的职责管理者应根据决策和过程控制的需求,提出对信息的需求。就过程控制而言,管理者应识别需求要利用那些信息支持评审过程输入、过程输出、资源配置的合理性、过程活动的优化方案和过程异常变异的发现。收集数据有目的的收集数据,是确保数据分析过程有效的基础。组织需要对收集数据的内容、渠道、方法进行策划。策划时应考虑:①将识别的需求转化为具体的要求,如评价供方时,需要收集的数据可能包括其过程能力、测量系统不确定度等相关数据;②明确由谁在何时何处,通过何种渠道和方法收集数据;③记录表应便于使用;④采取有效措施,防止数据丢失和虚假数据对系统的干扰。分析数据分析数据是将收集的数据通过加工、整理和分析、使其转化为信息,通常用方法有:老七种工具,即排列图、因果图、分层法、调查表、散步图、直方图、控制图;新七种工具,即关联图、系统图、矩阵图、KJ法、计划评审技术、PDPC法、矩阵数据图;过程改进数据分析是质量管理体系的基础。组织的管理者应在适当时,通过对以下问题的分析,评估其有效性:①提供决策的信息是否充分、可信,是否存在因信息不足、失准、滞后而导致决策失误的问题;②信息对持续改进质量管理体系、过程、产品所发挥的作用是否与期望值一致,是否在产品实现过程中有效运用数据分析;③收集数据的目的是否明确,收集的数据是否真实和充分,信息渠道是否畅通;④数据分析方法是否合理,是否将风险控制在可接受的范围;⑤数据分析所需资源是否得到保障。②APT:高级持续性威胁(AdvancedPersistentThreat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(AdvancedPersistentThreat)攻击,或者称之为“针对特定目标的攻击”。APT(AdvancedPersistentThreat)--------高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的C&C网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统或程序。APT攻击模式1.攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如,Cryptolocker就是一种感染方式,它也称为勒索软件,其攻击目标是Windows个人电脑,会在看似正常的电子邮件附件中伪装。一旦收件人打开附件,Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金,恶意软件就会删除加密密钥,从而使你无法访问自己的数据。2.攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网GameoverZeus就是一个例子,一旦进入网络,它就能使用P2P通信去控制受感染的设备。3.攻击者会通过一个直连物理连接感染网络,如感染病毒的U盘。APT攻击特点1.极强的隐蔽性对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,2012年最火的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。2.潜伏期长,持续性强APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意商业间谍威胁”,因此具有很长的潜伏期和持续性。3.目标性强不同于以往的常规病毒,APT制作者掌握