技术的进步使得检测细微的、异常的终端用户行为变得更加容易,比如在终端设备上安装不寻常的应用程序,或者可疑的偏离基线活动。本次圆桌讨论探讨了将监视、控制和上下文构建到企业内部威胁保护工作中的方法——在处理特权用户和普通员工时都是如此。
主持人:约翰·迪克斯,网络世界,主编,首席足球竞猜app软件
参与者:
·Eric Ogren, oggren Group分析师
·Feris Rifai, Bay Dynamics首席执行官
·肯·阿蒙,Xceedium首席战略官
让我们通过定义内部威胁问题开始。它有多大?
AMMON:很长一段时间以来,这种茅草屋/铁门的安全方式一直存在,内部并没有真正的政策强制执行,而且你已经看到鱼钩式网络钓鱼和凭据盗窃方法导致访问内部基础设施,但几乎无法防止权限的升级。有了第三方接入和云计算,内部威胁的风险面真的扩大了,因此我们看到了对核心问题的兴趣激增。
奥格伦:当我想到内部人士时,我想到的是特权用户和伪装成特权用户的入侵者。问题不在于这些攻击的频率,而在于一旦他们获得特权,他们能得到什么。大的入侵来自特权用户。
瑞法依:内幕身份凭证今天肯定更高的风险比以往任何时候。员工有优先获得信息,甚至是承包商和供应商提供接入,现在已经成为网络犯罪分子的主要目标。检视目标。大多数人认为是被盗或采取的优点是,参与内幕凭据。
+也在网络世界足球竞猜app软件最大的内部威胁?系统管理员走了流氓+
内部威胁是否随着时间的推移而改变,或者只是因为我们有了新的工具来揭露它,所以我们更加关注它?
AMMON:我认为这些接入点——移动工具、BYOD、互联业务——极大地放大了威胁,并导致了先进设备的发展,这些设备使用有针对性的方法来利用传统的安全弱点。
奥格伦:在过去,一切都必须在建设,周边种工作。如今,没有那么多 - 与流动性和托管应用程序和外包管理和数据中心可能甚至没有对自己的前提。2020欧洲杯预赛所以它更容易有沟通渠道绕过传统的安全系统。
组织是否转移了足够的资源来应对这些威胁?
瑞法伊:调查显示,人们明白他们有问题,但他们专注于保卫周边,而他们应该同样关心保卫自己的内部。请记住,一旦外部攻击突破了网络的边界,它就变成了内部攻击,因此必须像对待外部安全一样认真地看待内部安全。根据定义,内部人士就是一个人,所以你不仅要注意谁在使用你的敏感数据,还要注意他们是如何使用的。
这需要分析。我们需要能够把数据一起在回答有关内部人士处从规范意义的偏差行为,看起来很复杂的问题,然后电话说出来和隔离它的方式。也许有时候出来的会议十万或数百万,能看着它说,“这个人是一个威胁”。所以,你需要一个分析层,给你的可视性,否则这将是一吨的误报,因为大多数大型机构与数以百万计的事件竞争。
不要合规性要求充分解决的威胁?
OGREN:依从性多年来一直是安全最好的朋友,这让你很容易说你只需要做这个。但合规的负面影响是,它绝对会扼杀创新,因为在这个移动和虚拟化数据中心的新世界,现在很难证明增量安全是合理的。2020欧洲杯预赛我希望合规在涉及新技术和解决问题的新方法方面变得更聪明一些。因为很明显今天没用。到处都有人被破坏,这对我们的经济造成了巨大的损害。
即使他们顺从,也会被违反,对吧?
奥格伦:当然。这些企业都在做自己最大的努力,他们已经取得了很好的人,他们知道的安全问题,他们是绝对的无奈,不是吗?所以,在某些时候,我们需要开拓出空间来发现移动的国家的最先进的未来新的东西。我认为,合规实际上已经放慢了一些这样的。
AMMON:永远不要混淆遵从性和安全性。它们应该是,而且在某种程度上是相互关联的。但可以肯定的是,其中一个并不一定等于另一个。
回到假阳性的问题……考虑到内部人员是人,那么假阳性就会变得非常危险,因为你是在指认员工。当涉及到内部威胁时,该行业在限制假阳性方面做得够多了吗?
RIFAI:很多公司都被误报淹没了。因此,这又回到了对基于分析的补救的需求,以帮助您理解模式、正确地对事件进行分类、诊断这些事件的原因、确定正确的操作,并在这个过程中防止大量误报的发生。
AMMON:我相信你必须从授权独立的身份验证。这个想法,你通过像传统的VPN身份验证机制自己,然后你被允许移动大约可以不再被容忍。您应该验证自己的身份,然后才可以提供您所需的特定访问。这使得它更容易监测。你摆脱了大量的噪音,特别是与特权用户。
一旦你包含,控制和监控这些访问,你就必须进入一种内部执行的水平,而不是事后分析。因此,你希望能够以更积极主动的方式执行你的政策,我认为你希望提供更有效的工具。我知道我们已经不再使用日志数据作为主要格式,而是使用会议的完整记录。所以,如果它看起来像是有人试图违反,你可以在屏幕上重现他们正在做的事情,这大大减少了试图将碎片拼凑在一起的任务。
是否有一些组织在这方面走在前面,使用所有最新的工具正确地做这件事?
亚扪人:大约一个月前,我在一个面板和一个方案给了一个非常全面的演讲对这个问题,他们做的一切,而在另一边,另一个方案没有线索甚至有专注在这一领域和技术可用。所以我认为你有真正的高峰和低谷。
瑞法伊:我完全同意。一些客户可以控制他们的边界,控制他们的网络,但他们仍然缺乏对敏感信息的理解,而另一些客户意识到并进行适当的投资,甚至驱动大量的需求。目前这还不是大多数,但它肯定正在朝着这个方向发展。
AMMON:当我们有一个新客户时,我们通常会看到他们试图拼凑一个由现有安全投资组成的解决方案。不可避免地,他们知道建造和维护它是非常昂贵的努力。它从未真正满足审计师,因为它是如此分散,从一开始就没有真正起作用。有许多安全投资正在做它们应该做的事情,但不一定扩展到这些其他用例中。所以越来越多的人认识到,现有的方法可能永远不会让你达到目标,你需要一些新的东西。
奥格伦:约翰,我看到一些公司在这么做。比如在金融等行业,他们需要能够监控用户行为并对此进行报告。这在很大程度上是由技术上的巨大变化驱动的——有人带着平板电脑或手机进来,绕过了防火墙和其他一切东西——而旧的周边模式早已不复存在。
说到新技术,采用云计算如何使情况变得复杂?
AMMON:我认为在虚拟化和云计算如何增加风险方面,人们的理解还不够理想。许多买家并不知道其中的许多问题。例如,如果您正在使用虚拟化平台,那么您现在可以通过虚拟化平台以及应用程序或平台本身的前门访问每一个主机。
您必须保护这些新的访问点,并且必须能够创建规则并包含和控制该访问。它们可以通过web控制台在云环境中进行自助管理,您还可以使用管理api,在这些api中,您可以使用具有特权的自动操作。因此,现在您的特权参与者不仅仅是个人,他们是程序——而在弹性计算中,如果凭证被泄露或没有得到特别好的控制,您可能会招致严重的美元损失。如果有人在亚马逊错误地增加了10000个实例,你就会收到账单。这确实提高了对这个问题的关注,要求您不仅要从用户的角度来处理它,还要处理日益增长的应用程序编程接口问题。
RIFAI: You can imagine a malicious insider potentially exploiting cloud-related vulnerabilities and stealing information from a cloud system, or someone who can use cloud systems to carry out an attack on an employer’s local resources, etc. But it all adds up to additional access points that you didn’t have before and greater opportunity for exploitation.
所以都打可用的内部威胁所需的工具,现在还是我们还缺一些作品?
瑞法伊:这是一个以人为中心的问题,人是多方面的,所以你必须带着这种心态来解决问题;你必须采用多学科的方法。现在市场上有一些尖端的解决方案可以告诉你,在一个用户一个用户的情况下,什么是正常的,什么是不正常的,并在真正的大范围内这样做。当然,我们已经取得了进步,但这并不一定是所有公司都高度采用的方法。有一些人在使用这些技术,但并不是市场上的每个人都知道。
AMMON:我把挑战分成两部分。一种是与标准用户相关的内部威胁,另一种是与特权用户相关的内部威胁。我们发现,当您试图定义标准用户的角色以及如何限制他们在企业中的访问时,问题会变得非常严重。为特权用户定位和定义角色要容易得多,因为受众更小。
但是攻击需要两个步骤:获得访问,这通常涉及到标准的用户,然后提升权限。而且它是提升权限的步骤,是造成绝大多数的你正在阅读现在的问题。如果没有提升这些权利的能力,那么你无法访问服务帐户,以传播恶意软件。你不能劫持系统启动监听网络接口。
你可以不破坏数据。因此,有对特权用户广泛的访问能力。这是一个定义和解决的问题今天与今天的技术。
我认为下一个前沿是,“你如何与标准用户打交道?”这里的难点在于确定每个用户的规则和权限,然后部署企业系统,考虑遗留问题和云和虚拟化平台的发展,并强制执行。
奥格伦:这么多的证券投资一直专注于预防和阻止,并试图了解恶意软件,但它是类型的芝诺的悖论,每次只是把我们分开的方式,我们从来没有到达终点。现在,我们在转移到安全模式,更多的是用户授权和数据访问和数据流量的过程。因此,更多的,人们在做什么?他们有他们访问的东西做什么,在哪里去公司的资产?所以这是一个健康的变化,我们开始获得更多的平衡返回到安全模式。是的,有技术,有可以帮助企业。
OK,任何关闭的想法?
奥格伦:我们仍然有种上能够有安全,最佳实践和产品的公开讨论挂断了电话。我们有这种非理性的恐惧,如果我们透露什么我们的安全架构或做法和程序的模样,攻击者会刚刚通过我们的组织飞行。事实上,他们做到这一点呢。作为一个社会,我们应该做的更好的安全性。沉默礼物坐失良机的文化 - 一个开放的对话,对话与同龄人能有效地促进我们的最佳实践。因为我们不谈论安全作为企业的一个组成部分,我们失去了这样的机会开导自己说,“嘿,如果我们在这里改变一些事情,然后可以反映企业和每个人都来出人头地。”