從這次攻擊中吸取教訓(xùn),做好基礎(chǔ)設(shè)施準(zhǔn)備應(yīng)對下一次威脅
自12月13日SolarWinds供應(yīng)鏈攻擊事件發(fā)生以來,本已捉襟見肘的安全團(tuán)隊(duì)又開始忙碌起來,為確保企業(yè)的安全而爭分奪秒。
當(dāng)全世界都在關(guān)注越來越多被入侵的企業(yè)名單時,也有很多人認(rèn)為自己沒事。他們相信如果沒有運(yùn)行SolarWinds,或者是它的某個特定版本,那么就可以恢復(fù)正常工作。我看到一位安全研究人員發(fā)布了一張威士忌酒杯加冰塊和雪茄的圖片,建議其他安全人員休息一下,因?yàn)樗麚?dān)心這可能是一個漫長的冬天。
這樣的圖片有誤導(dǎo)性。實(shí)際上與網(wǎng)絡(luò)相關(guān)的活動只會上升,不會下降。如果說之前我們都認(rèn)為網(wǎng)絡(luò)安全很重要,那么2020年則更有甚之。很多實(shí)體店關(guān)門了,員工都在家里通過網(wǎng)絡(luò)辦公--整個業(yè)務(wù)剛剛實(shí)現(xiàn)了數(shù)字化。
在這種背景下,SolarWinds暴露了企業(yè)基礎(chǔ)設(shè)施的弱點(diǎn)。真不知道這段時間有多少人在試圖弄清他們在哪里運(yùn)行相關(guān)產(chǎn)品,以及有多少和哪些產(chǎn)品受到影響。而下一次不應(yīng)該再花這么長時間。
我的話并不是說給那些確認(rèn)被入侵的企業(yè)聽的--而是給那些正在慶祝躲過這次攻擊的企業(yè)。這是對網(wǎng)絡(luò)安全現(xiàn)代化敲響的警鐘。企業(yè)需要關(guān)注一些相關(guān)領(lǐng)域,并積極做好準(zhǔn)備。
企業(yè)必須通過一套完整、準(zhǔn)確、即時更新的基準(zhǔn)信息來掌握自身的環(huán)境,這一點(diǎn)至關(guān)重要。這意味著不僅僅是檢查他們是否運(yùn)行SolarWinds。太多企業(yè)不了解他們所擁有的一切,而且他們擁有的也并非都是最新版本(具有諷刺意味的是,成千上萬的SolarWinds客戶因?yàn)闆]有及時下載受感染的更新而逃過一劫)。沒有人愿意在關(guān)鍵事件響應(yīng)上花費(fèi)數(shù)天時間而只是為了弄清庫存。企業(yè)需要立即完成對其整個系統(tǒng)、基礎(chǔ)設(shè)施、軟件、供應(yīng)鏈 https://blog.paloaltonetworks.com/2020/06/policy-supply-chain-best-practices/和外部攻擊面的詳細(xì)分析。敏捷的企業(yè)不僅可以在未來檢測并預(yù)防這些攻擊,而且還可以結(jié)合這套基準(zhǔn)信息,迅速進(jìn)行取證調(diào)查。
認(rèn)真修復(fù)我們的基礎(chǔ)設(shè)施。企業(yè)IT架構(gòu)需要讓所有日志、網(wǎng)絡(luò)和安全數(shù)據(jù)相互通信,軟件要足夠智能,以識別這些數(shù)據(jù)中的有用內(nèi)容。如果產(chǎn)品集成度更高,這次事件本可以更早結(jié)束。企業(yè)需要轉(zhuǎn)向一個能夠?qū)崟r檢測和關(guān)聯(lián)主機(jī)、網(wǎng)絡(luò)、防火墻和云端數(shù)以百萬計(jì)事件的網(wǎng)絡(luò)安全平臺,然后實(shí)施全面的檢測和響應(yīng)。黑客使用異常高效的工具和方法,企業(yè)也需要使用由機(jī)器學(xué)習(xí)驅(qū)動的高效網(wǎng)絡(luò)安全平臺才能與之對等。
政府鼓勵部署創(chuàng)新。政府部門需要更加靈活地消除障礙,并更快地保護(hù)自己的機(jī)構(gòu)不受復(fù)雜威脅的攻擊。
2020年做的所有正確的事情都與科技相關(guān),這再次證明了科技的重要性。當(dāng)新冠疫情來臨時,遠(yuǎn)程訪問讓企業(yè)和政府部門保持正常運(yùn)轉(zhuǎn)。而零售商更是將線上服務(wù)作為重要的生存手段。然而,這也意味著我們要保護(hù)一個不斷擴(kuò)大的邊界,從而抵御越來越復(fù)雜的攻擊。
我們稱之為SolarStorm的群體攻擊已成為網(wǎng)絡(luò)安全的又一轉(zhuǎn)折點(diǎn),此前曾經(jīng)還有如影響我們金融服務(wù)基礎(chǔ)設(shè)施的大規(guī)模DDoS攻擊和網(wǎng)絡(luò)盜竊;導(dǎo)致企業(yè)和能源生產(chǎn)癱瘓的Wiper攻擊;竊取政府機(jī)密,以及導(dǎo)致港口、制藥廠和制造業(yè)關(guān)閉,并給企業(yè)造成數(shù)十億美元損失的NotPetya攻擊等等。
在100%的時間做到100%的防御是不可能的。在某些時候,客戶需要信任供應(yīng)商和他們提供的安全更新。但面對那些總是試圖超越我們的壞人,安全必須更加積極主動且面向未來。如果無法實(shí)時阻止攻擊,就需要準(zhǔn)實(shí)時的檢測和調(diào)查。零散安全補(bǔ)丁和漫長調(diào)查周期的時代已經(jīng)過去了,我們需要優(yōu)質(zhì)數(shù)據(jù)和實(shí)用的人工智能技術(shù)來保持領(lǐng)先優(yōu)勢。
為自己沒有受到影響而松一口氣?現(xiàn)在還不是時候。經(jīng)驗(yàn)豐富的黑客花了數(shù)年時間策劃攻擊事件--我們也必須對等投入資源防御。讓我們時刻做好準(zhǔn)備,以防御現(xiàn)在及未來那些不可避免的未知威脅,這樣我們就不用在事后急于調(diào)查發(fā)生了什么。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會,改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應(yīng)對全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長,我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個日益安全的世界。