如果说过去我们反复强调政企用户应在互联网安全领域中居安思危,这里所谓的“安”是用户尚未遇到重大安全事件,或者已经遭受攻击或侵害但自己不得而知,那么近期“凌镜门”事件无疑给全世界互联网信息安全敲响了警钟。
今年3月,韩国遭到严重APT网络攻击,韩国广播公司、文化广播电台、韩联社电视台等媒体以及新韩银行、农协银行等金融机构的计算机网络当天全面瘫痪。该攻击的特点为黑客利用韩国安博士杀毒软件补丁分发服务器和其他终端之间的信任关系,下发恶意程序,造成灾难性的结果。从这个事件来看,安博士杀毒软件没有对服务器的操作行为进行有效的安全审计,是这次事故的主要原因。由于APT攻击针对性强,它的攻击模式较传统攻击模式发生了重大转变。传统的防病毒、防入侵检测更偏向于监测,如何采用新的安全策略应对多变的攻击方式,要重新思考和完善我们的下一代安全体系。
“大数据”时代的降临,在安全领域中信息系统的规划、建设、投资等决策将日益基于数据和分析而做出判断,而并非过去基于经验和直觉的模式。如何采集、分析数据,提供定期的报表统计,包括攻击类型分布、高风险攻击事件统计、安全漏洞发布等,如何直观展现信息系统的实时安全态势、为安全决策提供数据依据成为了政企用户的面临的首要问题。
我们建议政企用户从以下四个方面着手解决信息系统安全问题:
1、建立信息系统安全事件监测机制,及时发现信息系统安全问题
运维阶段中,我们如何及时发现异常行为?这是正常用户应该出现的行为吗?该用户是否被控制或穿了马甲?比如某台服务器出现了大量的外连上传行为、进出访问IP中出现大量陌生的境外IP或CNCERT通报的恶意IP等。
因此,政企用户需要建立一套有效的安全事件监控和预警措施,能够在信息系统即将遭到攻击或已经遭到攻击时,快速、准确地发现攻击行为,并迅速启动处置和应急机制。同时可以对信息系统的安全事件进行综合分析,了解当前整体系统的安全态势,为整体网络与信息安全规划提供有效的数据支持。
2、预先防范,提前做好安全性检查,全面提升主动检测能力
Web应用的安全性成为越来越需要关注的问题,有近40%的入侵是由于Web应用的问题造成的。在Applied Research发表的一份调查报告中,企业反馈超过一半的最频繁的攻击是针对Web应用的。这些攻击中有一半都出现在著名“OWASP十大威胁”名单中。面对这些持续而频繁的攻击,政企用户需要进行定期的安全检查,及时主动发现信息系统中存在的安全漏洞及潜在威胁。
3、提高安全事件的响应和处理能力
结合监控中发现的问题,以及在安全检查中对自身脆弱性的了解,为应急响应的处理提供了依据,同时依据自身及行业特点,建立安全知识库。鉴于目前多数政企单位并不具备独立处理安全事件的技术实力,政府单位需要专业安全服务厂商提供安全事件的预警、响应和必要的技术支持,提高政企单位信息部门的安全事件响应与处理能力。
4、通过强大的综合分析能力,为信息部门提供数据参考和决策支持
应随时了解信息系统的运行情况和安全状况、安全态势,在海量数据的基础上,对安全事件和安全态势进行综合分析,得出宏观的规律和各类不同事件相互联系的规律,为信息部门提供强有力的数据参考和决策支持。
为了解决用户在安全运维方面遇到的问题,天融信安全云服务利用天融信安全云服务中心先进的技术平台、经验丰富的安全运营团队、成熟的服务管理体系,依托来自国家监管机构的权威分析数据,为政企单位提供便捷、高效的安全云服务,包括:7*24小时远程安全监控、安全预警、安全审计、安全事件响应、安全咨询、周期性安全巡检、本地驻场运维等服务,能够帮助用户快速、有效地解决安全问题、有效缓解用户在安全保障体系运行与维护阶段面临的工作压力,明显提高政企信息安全保障体系的运行效果。
作为国内第一个商业化的安全运维服务组织,天融信安全云服务中心结合在北京奥运会、上海世博会、广州亚运会、十八大、两会等重要时期为用户信息系统提供安全保障的经验,依托天融信攻防实验室(α-Lab)对安全漏洞的挖掘以及重大安全漏洞的应急处理意见,并通过多年的运维经验积累,将监控到的结果反馈到平台,平台根据反馈结果通过智能学习完善更新其监控机制,建立共享的安全知识库,以达到闭环的目的。通过云安全服务帮助用户建立监控、分析、预警、处理的运维机制,结合巡检和应急响应,实现一站式的安全托管。
""