搜索
互联网时代的企业安全发展趋势专题调研报告,调研机构:第1期22020年预防将失效:通过普遍监控和集体情报保护信息11中国企业安全现状分析23企业安全解决方案28关于360互联网安全中心22020年预防将失效:通过普遍监控和集体情报保护信息有针对性的高级攻击将使以预防为中心的战略过时。2020年,我们需要向以信息为中心和以人为中心的安全战略转变,再结合内部普遍监控和安全情报分享,才能确保企业安全。重大挑战•信息安全无法再预防有针对性的高级攻击。•IT部门将无法掌控用户使用的大多数用户设备或服务。•在预防攻击方面投入的信息安全支出过多,而在安全监控和响应能力方面的投入不足。•如果不对关于威胁和攻击者的情报进行集体共享,单个企业将无法进行自我防卫。建议•立即启动一个项目,以了解企业中哪些部门负责创建、移动、转换、存储和存档敏感信息。利用所了解到的情况将投资按优先顺序进行排序。•构建普遍监控。为未来五年逐年加强监控而编制预算,增强监控技术的深度和广度。•在事故响应能力方面进行投资。设定一个流程来快速了解已检测到的违规行为的范围及影响,并为该流程配备员工。•向安全解决方案提供商提供大量企业的大致情况,使之了解威胁和攻击者的情况。战略规划设想到2020年,60%的企业信息安全预算将分配到快速检测和响应方法方面(2013年不足10%)。到2018年,80%的终端保护平台将包含用户活动监控和入侵取证功能(2013年不足5%)。简介2020年,企业的外部威胁会产生多种可能的情景,这取决于攻击者直接针对的是企业资产还是个人。这种差异会因为对这些攻击做出的响应而进一步扩大—无论其是协调统一的机构还是分散的、有组织集团倾向的机构(参见图1,“2020年安全和风险管理情景规划”、“在未来情景中优化安全控制的四大战略”、“有控制地释放个人数据”以及“加大业务持续性管理力度,以应对‘联盟规则’情景”)。不过,各种情景中都存在以下三大主要趋势:•持续性危害。有针对性的高级攻击将会继续增加,它们会绕开传统的保护机制,在更长的时期内始终不被发现。因此,在所有情景中,必须假设系统和个人都会受到危害。•出于财务目的的攻击。大多数情况下,针对企业和个人的有针对性的高级攻击都在试图盗取敏感信息—客户信息、信用卡数据、商业机密、配方、流程、计划、价格和类似知识产权。在某些情况下,其目标是通过进入关键系统或者使业务流程中断来给目标企业造成经济损失。•IT部门将失去控制权。IT部门越来越无法直接掌控用户所使用的用户设备或服务,这限制了IT部门实施“侵犯性”控制手段的能力。消费化和“携带个人桌面”程序以及基于云的服务的使用量的增大趋势共同创造了一种计算环境,在这种环境中,IT部门将失去对所使用的消费设备和服务的控制。来自Gartner文件:3信息来源:Gartner(2013年5月)图1.2020年Gartner安全情景联盟规则邻里监督可控风险控制型家长式目标企业个人统一机构有组织集团倾向总之,这些大趋势将在信息安全组织、流程和战略方面引发多方面的转变(我们将在此研究报告中讨论这些转变):•在IT堆栈结构中,将安全保护提升到保护信息(而非保护系统)的高度•从以控制为中心的模式向以人为中心的模式转变•使流程和开支朝着持续监控和普遍监控的目标转变•朝着利用集体情报和信誉服务的目标进行转变分析向以信息为中心的安全战略转变考虑典型的IT堆栈(参见图2)。2020年,企业IT部门将不再掌控设备,在使用基于云的服务时,它们可能会也可能不会控制最终用户使用的网络、服务器、操作系统和应用程序。2020年,IT部门可以真正直图2.典型的IT堆栈硬件人员应用程序和服务工作区流程信息网络操作系统信息来源:Gartner(2013年5月)4接控制的还剩下什么?答案是信息本身。在大多数情况下,信息必须成为信息安全战略的焦点。这是一种朝向信息安全的基础的回归,因为信息安全的目标始终是保护信息的机密性、完整性、真实性、可用性和实用性,以及保护对信息的访问。1对于许多企业来说,对设备、应用程序和服务器的控制和加锁是达到目的的一种手段。为了实现保护信息的目标,我们利用设备所有权,通过加锁和控制来保护信息。但是,这会把加锁、所有权和控制等同于信息安全,将手段与最终目标混为一谈。所有权和严格控制代表着信任。在未来,当IT部门越来越无法掌控或控制技术的使用或发送时,人们就需要使用新的信任模型了。信息安全战略需要从自下而上的设备和以网络为中心的战略,转变为自上而下的以信息为中心的战略,且该战略注重信息本身(参见图3)。根据实际发生的情景是四种情景中的哪一种,攻击者将更改他们攻击信息的目标和方式(参见图4)。无论如何,从保护用于保存和传输信息来源:Gartner(2013年5月)图3.自上而下的以信息为中心的安全模式自上而下—以信息和应用程序、数据库、文件共享和协作系统自下而上—设备和流程为中心,“可共享性”操作系统定位,“加锁”硬件人员应用程序和服务工作区流程信息网络操作系统企业不能处理好将敏感信息放在何处的问题。需要进行信息生命周期保护。都是储存和处理信息的容器。信息的媒介(例如,网络基础设施和终端)到保护数据和信息本身的转变的需要,将是所有情景中最重要的转变。如果攻击者把企业系统作为目标,信息安全战略将需要关注那些用于访问、处理和存储信息的企业系统。具体来说,这包括增加在应用程序安全方面的投资,例如,应用程序安全扫描仪、应用程序安全防火墙、数据库审核和保护、文件共享监控和保护以及企业内容管理系统的保护(包括诸如Microsoft的SharePoint之类的平台)。基于云的服务中的企业信息可以通过加密技术来保护,也可以通过使用云入口安全代理(请参阅“云入口安全代理越来越重要”)的令牌化进行保护,或者使用专为信息保护和云加密网关设计的特定平台(请参阅“2012年云安全的技术成熟度曲线”)进行保护。在这些情景中,我们的保护工作集中在图5的左半部分。如果攻击者以个人为目标,信息安全战略将需要更加关注消费方面,即保护最终用户设备上的信息(无论是企业拥有的信息还是个人拥有的信息)。有一种简单而笨拙的方法会5信息来源:Gartner(2013年5月)图4.信息安全战略的不同重点信息来源:Gartner(2013年5月)图5.以企业为中心的信息保护模式与以个人为中心的信息保护模式比较监控用户活动监控对企业系统保护个人和设备保护企业系统企业个人目标对信息的访问对信息的访问和信息的访问和信息使用SharePoint和Web应用程序以个人为中心文件共享传统应用程序移动操作系统VDI和远程查看器设备加密数据库以企业为中心eDRM?和Windows容器其他内容门户6加密整个设备以防设备丢失或被盗,但是这种方法对有针对性的高级攻击毫无作用,因为这种高级攻击进行的是基于凭据的访问。另一种方法是将企业内部的信息以及处理信息的应用程序保存在一个中央位置,使用托管虚拟桌面(HVD)/虚拟桌面基础设施或类似的技术,向最终用户远程呈现信息。同样,使用远程查看器应用程序也可以获得相同的最终结果,无需传输整个桌面,只需查看文档(请参阅“如何控制文件同步服务并防止企业数据泄露”)。如果允许将企业信息存储在本地设备上,则针对移动和非移动系统,将出现用于特定于应用程序和独立于应用程序进行控制的解决方案(请参阅“用于企业数据管理和安全的移动应用程序容器的技术概述”)。此时,将使用加密技术单独保存潜在的敏感企业信息,以实现逻辑隔离,这将使删除数据就像废除密钥一样简单。建议•从传统的方法转变为开始使用信息生命周期方法,通过确定在企业用户和系统中创建、操作、转换、存储和存档敏感信息的位置,来保护信息。•假设到2020年大多数设备和服务都将不受信任,从信息层级开始设计保护措施,一路向上兼顾各层级,直至消费系统或服务。•不要对所有应用程序和系统采用相同的保护级别。根据应用程序和系统保存的信息的敏感性和关键性以及这些应用程序和系统所支持的业务流程的重要性,确定相关保护工作的投资的优先次序。•对于敏感信息存储在非企业设备上的情景,要探索使用(HVD)或远程查看器来直接控制信息,或使用新出现的控制解决方案来保护信息。从以控制为中心的安全模式转变为以人为中心的安全模式到2020年,针对信息安全的传统的技术性方法(以控制为中心)将被淘汰。2013年,这种方法就已经越来越难以维持下去了。最大的难题是:这种方法试图使信息免受由合理访问信息的人员造成的蓄意损害或意外损害,同时又设法最大限度地减小对效率和灵活性产生的消极影响。IT交付模式的多样性和复杂性以及数据量的剧增,使针对安全问题的传统方法站不住脚。以人为中心的安全模式(PCS)创建了一种现代、高效、侵犯性小且成本较为低廉的安全模式,可以替代传统的“加锁”模式。PCS是一种针对信息安全的战略方法,强调个人的责任和信任,不再强调限制性和预防性的安全控制。PCS以一套主要原则和个人的权利及相关责任为基础。PCS的前提是员工拥有一定的权利,但这些权利是与特定责任相连的。这些权利和责任建立在以下理念的基础之上:如果个人没有履行自己的责任或者其行为方式没有尊重其同事和企业的利益相关者的权利,那么这些个人将受到处罚。这种权利和责任的紧密结合在员工之间创造了一种集体的互相依赖性,利用了公司内的现有社交资本。PCS原则侧重于运用检测性及反应性控制以及透明的预防性控制,而不侧重于运用侵扰性的预防性控制。同时该原则还假设个人拥有适当的知识来了解其权利、责任和相关决策。在情景规划象限中,只要目标是个人,就适合运用PCS原则。在控制型家长式情景中,企业负责为PCS设定相关的文化背景。在邻里监督情景中,许多文化背景和基本原则都是由个人(及其组织)所在的社区提供的。最佳做法/建议•研究针对信息安全的更加以人为中心的方法背后的概念和原则,并考虑在安全战略中采用这些概念和原则中的一些或全部。7•认为需要转变为使用PCS方法的组织必须:•认真规划一项有效的文化变革计划。•确保工作场所协议是灵活的并且完全合法。•确保他们的PCS方法仍然符合其必须恪守的标准。将安全计划重点转向快速检测和响应到2020年,企业系统将处于一种遭受持续性危害的状态。它们将无法防止有针对性的高级攻击在系统中立足。遗憾的是,到目前为止,人们错误地试图预防所有攻击,因而将大多数的企业信息安全支出集中用在了预防上。随着形势的发展,尽管人们仍然需要运用预防措施(例如,企业防火墙、入侵防御系统和终端反恶意软件系统),但这些预防技术的有效性将下降,这些技术在信息安全预算中所占的百分比也将下降。此外,上文所述的向PCS的转移暗示着从预防性控制向检测性控制转移。我们相信大多数的信息安全支出都将转变为支持快速检测和响应能力,这些能力随后会与保护系统相连,以阻止攻击的进一步扩展。在缺少基于签名的机制的情况下,要解决如何识别攻击这个看似无法解决的问题,一种措施就是实施普遍监控,识别与正常行为不同的有实际意义的特别行为,从而推测恶意目的。如果您假设系统会遭受有针对性的高级威胁,则在信息安全方面的努力就需要转变为详细、广泛且可感知背景情况的监控,以检测这些威胁。2然而,当转向以信息为中心的安全战略时,我们的监控重点将因情景而异(参见图3)。对于攻击的重点是企业系统的情景,我们对监控、检测和响应的重视将处于企业级别,具体来说就是,采用与信息保护大致相同的方法(监控对应用程序、数据库、文件系统和内容管理系统的访问)来监控企业对应用程序和信息的访问。可以对用户访问模式进行衡量和分析来判断是否存在隐含恶意目的的异常行为,比如,可以分析访问的频率、下载信息的数量、访问信息的类型和背景信息(例如,发送请求时间是在一天当中的什么时间,或者发出请求的设备是什么类型的设备)等。除了特定于领域的监控解决方案(例如,数据库审核和保护)之外,业界还涌现出了身份和访问情报解决方案,这些解决方案也能分析上述模式。即使在通过云使用信息和服务的情况下,云入口安全代理(例如,SkyhighNetworks)也可以针对云服务访问进行同样的衡量