在大多数信息安全会议上,安全研究人员都会展示他们可如何绕过你企业中使用的关键安全控制,这些研究人员通常会展示他们如何利用漏洞或概念证明攻击来控制你整个企业。例如在2015年欧洲黑帽大会上,安全研究人员Ian Haken展示了可如何绕过Microsoft BitLocker,这意味着全磁盘加密面临威胁。在同一个会议,安全专家Haroon Meer谈到信息安全行业如何未能保护我们的企业。这两个演讲都表明企业需要快速调整其安全方案来应对新的正在出现的威胁。
在本文中,让我们来看看企业安全方案的发展以及如何作出调整来应对新出现的威胁。
企业安全方案的发展
信息安全起初只是由密码、防火墙和防病毒软件组成,随后迅速发展到更安全的密码、下一代防火墙、反恶意软件工具等。当然还有很多显著的改进,但很多企业安全方案还没有从核心安全控制继续发展,或者还没有学习如何将不断变化的风险缓解纳入其安全方案。
例如,全磁盘加密(FDE)已经成为很多企业的核心安全控制,但Haken的研究表明有关FDE先前的假设需要进行更新以反映他的新研究。很多企业决定部署透明的FDE,因为这可最小化对最终用户的影响,并至少需要他们改变其行为。虽然这比没有部署透明的FDE更安全,但这种做法的安全性其实比不上其他可用选项,因为这个过程对用户不可见,且不需要额外的密码或身份验证。
Haken的攻击是绕过域名账户的身份验证,还允许攻击者绕过BitLocker、微软针对Windows的FDE功能,但这个攻击需要登录到管理员账户以及物理访问到客户端设备。潜在的缓解方法包括使用BIO密码、预启动身份验证或安装微软的补丁程序。他在结束时说道,当威胁模式变化时,“你需要重新评估以前的安全选项”。
对于已经部署透明FDE的企业而言,应该评估身份验证和FDE绕过对其企业的影响以及未来可能出现的绕过,以确定使用透明的FDE是否是可接受的风险,或者是否还需要部署其他的安全控制。这种新攻击可能推动一些企业从使用透明的FDE到在其FDE部署中要求预启动身份验证。这是企业安全方案应基于有关威胁和漏洞的新信息来进行调整的例子。
如何调整企业安全方案
围绕如何调整企业安全方案的挑战并不是新鲜事,但随着更多资源投入到信息安全,并且企业董事会都已经参与其中,这项工作已经开始受到严格的审查。正如Meer在其演讲中所指出的,董事会现在开始询问或者将会询问为什么他们在信息安全方面的投资未能充分保护其企业。
企业本身不太可能了解每个信息安全大会或新的研究报告,但企业可关注威胁情报服务或其他机制发现的新漏洞和新兴威胁,并将这些数据整合到其信息安全方案中。企业可使用特定行业的信息共享,了解攻击中经常使用的恶意软件、漏洞或攻击技术,以确定需要解决的最高优先级事项。此外,企业还可在其信息安全风险管理方案中使用这些数据来评估风险、确定风险水平以及适当的缓解措施,进一步调整其信息安全方案。
所有这些不同的步骤可包括在企业的风险管理程序中,并用于根据这些评估的风险来更新安全方案。对于发现的重大风险,企业应该执行更深入的风险评估来确定适当的对策。这将可防止企业做出可能带来负面影响的调整,而不是正面影响的挑战。
企业在准备进行这些变更时,需要的不仅仅是企业安全方案和人员;IT所有人员以及很多最终用户都将可能需要参与。利益相关者还应参与确定采取适当的步骤来保护企业。在较早期与利益相关者沟通并对潜在必要的变化保持透明化,利益相关者可帮助推动这些必要的变更,例如当企业在确定现在是否需要预启动身份验证来保护FDE的端点时。这些变化可能是非常规的,但可为保护企业提供最佳方案。
结论
在40年间,企业信息安全已经走过了漫长的道路--从最早抵御脚本小子到现在保护瞬息万变的IT环境免受现代高级持续威胁。对于新出现的威胁和新风险,企业可在其信息安全风险管理方案中采取一些额外的措施来应对。有些信息安全团队可能会对这样的变化犹豫不决,但面对BYOD、物联网和云计算带来不断变化的IT环境,企业需要准备做出迅速变化来保护企业。