网络威胁防御的未来在于开放式安全
长久以来,网络安全行业一直在使用一种有瑕疵的方法,这种方法秉持的理念是企业可以通过模糊性和保密来避免安全威胁。它假设将安全控制和过程隐蔽起来,让产品和数据本质上更加安全,从而达到抵御所防护网络中的网络威胁的效果。
然而,面对资金充足且高度积极的攻击者,即便是最巧妙的网络安全防护措施也无法与之抗衡。事实上,随着现代企业的数据足迹不断扩大,许多传统的集中式网络安全控制措施已经不再适用。
随着数据泄露事件以惊人的速度持续增多,更多安全专业人士和供应商要承认和接受的一件事是,我们可以利用尚未开发的优势,以社区合作的方式来提高安全的开放性和透明度。
开放式安全是一种能够改变安全公司与其客户关系动态的方法,它将安全从业人员聚集在一起,共同针对企业威胁制定更具弹性的应对方案,从而有可能实现网络安全行业转型。开放式安全不仅是适用于任何组织的最佳防御措施,还应该是整个安全行业的前进之路。
实现开放式安全的理由
对于最近发生的 Log4j (Log4Shell) 事件,很多人认为这只是一次安全故障,但它正好解释了开放式系统为什么比封闭式系统安全性更高。由于 Log4j 库是开源库,因此当开发者发现远程代码执行漏洞时,便在全球引发了连锁反应,这一漏洞很快被广而告之并打上了补丁。如果这个漏洞被攻击者发现,则可能会造成数百万美元的损失。阿里巴巴在开放性安全方面的投资造福了每一个受到影响(或本来可能会受到影响)的人。
这与某个民族国家对 SolarWinds 专有代码的攻击形成鲜明对比。在还没被发现的那些年里,这一漏洞让至少 100 家公司和十几个美国政府机构的系统遭受不受限制的访问。
虽然有人可能会在封闭式的专利产品中发现 Log4Shell 漏洞,但更有可能的是,经验老道的攻击者先一步发现了它。开放让大家更难以隐藏或不去修复相关产品中的缺陷,最终的结果是整体安全性得以提高。
[相关文章:为什么说最有效的网络安全是开放式安全]
动态威胁需要动态响应
企业要识别威胁并成功阻止网络攻击,就不能依赖于静态检测。这种方法在检测文件的特定标识符方面非常出色,但攻击者仍然只需做出微小的调整,即可轻松让该检测背后的机制完全失灵。
为了缓解这种情况,防御层必须覆盖攻击面的多个点。将多种防御机制集成在一起有助于提高安全解决方案的有效性,也让企业有机会通过多个点中断攻击的生命周期。
除了提供分层保护,网络安全防御者现在对攻击者的作案手法也有了更好的了解。MITRE ATT&CK 框架® 是一个关于攻击者行为的精选知识库和模型,其中概述了攻击者生命周期的各个阶段以及破坏安全防御机制所使用的策略和技巧。MITRE ATT&CK 提供了对攻击行为的常见分类,这相当于为网络安全防御者提供了一个易于访问且透明的行动手册。
安全供应商应该本着同样的开放性和透明性精神寻找机会。
开放式安全有助于安全从业者关注差距
尽管有证据,但认为软件开放本质上不太安全仍然是一种误解。许多安全供应商都存有这样一种希望,即只要不使用威胁检测机制,攻击者就难以发现其软件中的漏洞。但如今的网络罪犯已有工具让他们甚至在侵入安全系统前就了解自己是否会被系统发现。
结合这一现实来看,开放式安全缩短了检测时间,且绝不放过任何新的威胁,让人有机会避开这个问题。安保人员在查看监控录像时,就已经准确知道摄像头的监控范围和死角。这有助于他们找到摄像头视野之外的薄弱区域,然后确定是否需要进一步调查。
了解差距弥补意味着安全从业人员能够找到在哪些方面需要对现有安全工具进行补充,或更仔细、更主动地监测威胁。这让安全团队能够为特定环境构建最佳防御方案,而不仅限于被认为已经拥有足够防御措施的环境。
通过社区实现可扩展安全性的方法
这是开放式安全的另一个优点?由于供应商们想要提高自身安全控制措施、检测规则和威胁逻辑的透明度,社区随之应运而生,它能够将整个安全行业最佳实践的作用放大许多倍。通过将自家的专家与更大范围的安全社区中的专家进行比对,安全供应商可以了解更多它们曾注意到的新威胁以及检测不易察觉的攻击的创新方法。这提高了系统防御能力的可扩展性,这不只是对于企业而言,还包括其客户和数据。
务必要记住,安全不仅仅是威胁检测,它还涉及对威胁采取行动的能力。怎样才能阻止攻击呢?我们可以从取证中学到什么来加强对未来类似威胁的防御?当供应商使安全性公开化和透明化时,便能够不断改进自己的工具,使其作用超出它们使用有限的内部资源所能达到的范围。
归根结底,开放式安全与信任有关。您要相信您的安全软件能保护公司免遭最新网络威胁的攻击,并相信它在一个独特环境中运作时不会干扰日常运营。
通过整合我们的集体资源更快地对网络威胁做出反应,就有可能大幅降低每年发生的网络攻击数量及其影响。
要亲眼目睹开放式安全解决方案如何大幅减少风险,请观看我们的介绍性网络研讨会:Elastic 安全简介:如何缩短 MTTR。