一个专注预防的安全策略不是十分安全的。CIO需要引导IT安全预算转向攻击检测和响应方面。
让我们把坏消息移开:你的企业有一个过时的IT安全预算方法,且几乎肯定浪费宝贵的美元。那些钱本可以在阻止被攻破时产生影响的。
如果还有少许安慰的话,那就是很多企业正犯着同样的过错:把太多预算放在阻止攻击,而不是投资在威胁检测和响应上。幸运的是,变化的强弱法并不难懂。虽然IT安全预算的必要改变起初可能会痛苦,但最终会获得更高的安全性。这就是我们本章将要讨论的。
检测和响应与预防同样重要
从获取对你的IT基础设施未授权访问,到找到敏感数据,每一个故意攻击都想预防,是不可能的。从早期的破坏,像Heartland Payment Systems(哈特兰支付系统)和Epsilon Data Management(艾普赛隆数据管理公司),到最近发生事故的Target(泛欧实时全额自动清算系统)、Home Depot(家得宝)和Sony Pictures(索尼影业),攻击者一再证明总有办法能通过几乎任何一家企业的预防安全控制——防火墙、入侵防护、基于签名的防病毒软件、单因子身份鉴别,甚至是那些在信息安全和承诺上投入重金的行业(比如金融和零售业)的公司。
浓缩一下就是,好人常犯错误——配置错误的防火墙、未打补丁的Windows电脑或者隐藏在网络钓鱼电邮里的零日攻击,坏人仅仅需要成功一次。防范技术帮助确保每个攻击者无法进入,但是正如那些引人注目的事故所展示的,经验老道的攻击者仍然可以进入。
取而代之,企业应该慎重对待缩减预防开销,转向攻击检测和响应软件产品。检测和响应技术——网络和终端威胁检测、恶意软件沙盒化、基于策略的白名单、能加速和减轻应急响应的产品。假设最坏情况,给企业提供新方法来鉴别、分类和区分异常现象的优先级,然后执行快速的隔离、补救和事后分析。
小编推荐阅读