什么是安全漏洞(以及如何从中恢复)?

安全资讯 小布 336浏览 0评论

无论您公司的防御多么强大,都会有人设法危及您的安全。没有任何防御组合可以 100% 免受熟练且坚定的攻击者(或攻击者群体)的攻击。可怕的是:根据美国证券交易委员会引用的数据,“60% 的小公司在数据泄露后的六个月内倒闭。”

但是,仅仅因为您遭受了安全漏洞并不意味着世界末日。如果您制定了从事件中恢复的计划并已采取措施为这种可能发生的情况做好准备,则可以从安全漏洞中恢复并照常营业。

什么是安全漏洞?

简而言之,只要任何未经授权的用户渗透或规避网络安全措施以访问系统的受保护区域,就会发生安全漏洞。肇事者可能是真人,例如网络黑客,也可能是自我引导程序,例如病毒或其他形式的恶意软件。

安全漏洞可能是有意操作或意外操作的结果。故意的安全漏洞背后通常有两个动机。攻击者通常希望访问安全信息(导致数据泄露),将计算资源用于自己的目的(常见于加密劫持攻击),或者出于个人或公司原因使网络本身崩溃。尽管这些攻击可能令人恐惧,但与由于某种错误或疏忽的某种组合而发生的意外破坏相比,它们通常更容易识别和计划。

数据泄露的类型

尽管这些术语经常互换使用,但安全漏洞和数据泄露并不完全相同。安全漏洞是网络安全控制的失败,但这并不一定意味着私人或机密数据被泄露。当安全信息被未经授权的用户访问或发布到不受信任的环境中时,术语“数据泄露”适用。

从意义上讲,数据泄露可以分为七个不同的类别:

1. 黑客入侵

此类别包括网络犯罪分子用来访问安全数据的各种技术,例如网络钓鱼诈骗、暴力访问尝试、勒索软件和各种形式的病毒/恶意软件。

2. 内部威胁

内部威胁是一种特别危险的数据泄露类型,是指员工(或供应商)利用他们的安全控制知识访问和破坏数据的任何情况,通常是为了经济利益。

3. 移动数据

便携式存储设备(例如笔记本电脑硬盘驱动器、备份磁带和闪存驱动器)对于将数据从一个位置完整地物理传输到另一个位置非常有用,但它们总是有可能在传输过程中丢失或损坏。

4. 实物盗窃

虽然大多数组织在防火墙和网络安全软件后确保其 IT 网络安全,但他们还必须应对有人带着公司笔记本电脑走出前门的可能性,其中充满了专有和潜在的敏感信息。还存在小偷使用社会工程技术访问安全位置并将数据下载到便携式驱动器的风险。

5. 人为错误

不幸的是,错误有时会发生。在网络安全和数据处理方面,它们往往会经常发生。根据英国信息专员办公室 (ICO)的数据,2019年该国大约90%的数据泄露是人为错误的结果。

6. 意外上网

大多数组织都明白,将数据暴露给公共互联网会大大增加暴露和未经授权访问的风险。当数据主要存储在本地服务器中并通过 LAN 连接访问时,这不是什么问题,但云计算的兴起迫使公司在保护通过 Internet 访问的数据时采取更加主动的措施。将数据暴露给公共互联网会增加意外数据泄露或“中间人”网络攻击的可能性。

7. 未经授权的访问

薄弱的访问控制,例如管理权限监控不佳或缺乏用户细分,可能会导致人们处理和共享他们最初没有业务使用的数据。如果没有良好的访问策略,组织更有可能发生其他形式的安全漏洞,最终导致代价高昂的数据泄露。

为安全漏洞做准备

当谈到从安全漏洞中恢复时,准备是关键。如果你没有适当的攻击,您甚至可能无法识别安全漏洞,更不用说恢复和消除它了。

以下是一些有助于保护您的组织免受安全事件影响的关键准备工作。您为攻击准备得越充分,就越容易快速修复它。这反过来又有助于限制网络安全漏洞的影响。

识别您公司的所有 IT 资产

如果您不知道网络上的内容,如何保护您的网络?如果您要考虑需要保护的所有资源,并且可能将复制作为恢复计划的一部分,则必须对网络上的IT资产执行全面审计。

添加入侵检测系统

发现漏洞的能力对于确保快速响应以最大程度地减少损害以简化恢复和降低风险至关重要。入侵检测系统 (IDS) 可帮助您确定何时发生安全漏洞,以便您尽早做出响应。入侵防御系统 (IPS) 通过自动触发有助于立即遏制攻击的网络漏洞响应措施,使事情更进一步。安全信息和事件管理(SIEM) 系统可以帮助收集有关网络黑客尝试的信息,以揭示攻击方法——这对于防止未来的攻击非常有用。

创建事件响应计划

一个事件响应计划(IRP) 是一份文件,概述了组织中的每个人在应对网络漏洞时需要做什么。拥有 IRP 可以帮助员工更快、更一致地对网络黑客做出反应,从而可以更快地控制和消除违规行为。制定事件响应计划的一部分是将计划分发给组织中的每位员工,然后验证他们是否理解并能够满足 IRP 文档中规定的期望。这可能需要额外的培训课程或会议来回顾计划的内容并解释如何使用识别、制止和消除网络漏洞所需的特定工具。组织中的每个员工都应该在 IRP 中扮演明确的角色——即使该角色只是向响应计划中的关键利益相关者报告事件链。

备份您的数据

在攻击发生之前,必须为组织最重要的信息创建远程数据备份,以便在网络破坏后可以恢复本地文件。这有助于防止数据因破坏或加密本地存储文件的漏洞而丢失。它也是灾难恢复(DR)计划的重要组成部分。设置备份自然需要组织对其所有数据进行分类,以便在紧急情况下可以保留最重要的信息。尝试简单地复制所有内容会导致备份膨胀,从而减慢数据复制速度并增加不必要的费用(因为保存所有内容需要额外的存储空间,而只需要为关键任务数据进行预算)。

进行频繁的渗透测试

渗透测试是缓解风险的重要工具,可识别安全准备中的漏洞,以便您可以在漏洞发生之前修复它们。渗透测试(也称为“penetration test”),网络安全专家有意尝试破坏您的网络安全架构。这有助于识别网络中的潜在漏洞,然后您可以修复这些漏洞以防止攻击者在”零日”攻击中使用它们。应经常执行这些测试——尤其是在对组织的软件或 IT 硬件进行任何重大修改之后。

创建事件响应小组 (IRT)

虽然制定事件响应计划很有用,但拥有具备适当技能和经验的人员来处理您对安全漏洞的响应也同样重要。事件响应团队——无论是从内部 IT 人员还是从第三方网络安全人员提供——可以帮助确保您的 IRP 尽可能顺利地执行。您的 IRT 人员将收集、分析收集到的有关安全事件的信息并采取行动。一些组织将其专门称为计算机安全事件响应小组 (CSIRT),因为他们可能不得不处理数据或网络漏洞以外的事件。

如何应对安全漏洞

当安全漏洞确实发生时,组织需要有一个明确定义的行动计划。在这些情况下,事件响应计划应作为指路明灯。理想情况下,该计划将在整个公司广泛共享,以确保每个人都知道他们在网络安全事件中的角色和责任。

漏洞恢复的第一阶段:停止攻击

确定存在漏洞是恢复之路的第一步。漏洞发生后您越快发现漏洞,您的公司就会越好。这是因为任何攻击者都需要时间来突破他们破坏的第一个系统以进入您网络的其余部分。

第二步是遏制漏洞一一通过隔离攻击者已破坏的系统或撤销他们正在滥用的用户帐户的访问权限来切断攻击者的访问权限。

威胁被遏制后,第三步就是消除它。消除方法可能因发生的违规类型而异。例如,勒索软件威胁可能需要对所有受影响的数据存储介质进行完全格式化(甚至物理移除和更换)以移除勒索软件。然后,可以从远程备份(假设存在)恢复被破坏的数据。

如果您能够在攻击者突破他们最初入侵的系统之前识别、遏制和消除漏洞,您就可以最大限度地减少漏洞造成的损害。

只有在消除了攻击源之后,恢复过程才能真正开始。

漏洞恢复的第二阶段:调查攻击方法

了解攻击如何发生是防止攻击者再次重复相同攻击策略的必要条件。此外,应调查任何受影响的系统是否有进一步入侵的迹象——攻击者可能在他们访问期间在系统上留下了其他恶意软件。

应保留违规发生时的活动日志,以便日后进行取证分析。这些日志可以帮助您识别攻击的来源,以便您可以阻止未来的尝试。

漏洞恢复的第三阶段:通知可能受到影响的人

在对违规行为进行调查期间,您应该能够确定哪些系统遭到入侵以及哪些数据(如果有)面临被入侵的风险。你应该发出通知,任何与可能已受到安全漏洞的所有各方。

因此,您的企业必须通知其客户、供应商和其他受数据泄露影响的人的时间限制可能会有所不同。根据经验,发送通知的速度越快越好。

通知的联系方法可能会有所不同,通常最好通过多种方法发送通知,以确保通知受违规影响的人。例如,您可以发送群发电子邮件、普通邮件或自动电话,以警告客户他们可能已受到影响。

在电子邮件/邮件/电话消息中,请务必记下泄露日期、可能已泄露的文件类型以及消息收件人应根据泄露的数据类型采取哪些措施来保护自己。

发送此类通知对于在违规后保护公司声誉至关重要。除了努力保护可能受数据泄露影响的客户之外,及时和诚实表明您非常重视客户的数据安全。反过来,这有助于减少在重大数据安全漏洞之后不可避免的反弹。

还应尽快通知当局,以便他们可以帮助调查(并遵守某些安全漏洞通知法)。

漏洞恢复的第四阶段:恢复网络上的资产

可以通过多种方式恢复网络中受损的单个资产,具体取决于您为安全漏洞所做的准备。在某些情况下,可以简单地擦除或更换受影响 IT 资产的数据存储驱动器,并从备份中下载任何丢失的数据。

在其他情况下,可以激活网络环境的整个基于云的副本,以便在您调查安全漏洞时几乎立即将您的企业网络恢复到正常状态。

基本上,您如何恢复网络上的资产将取决于您制定的业务连续性 (BC和灾难恢复 (DR) 计划。业务连续性/灾难恢复计划是您应该提前设置好的,以创建故障保险,这样如果您的一项资产被拆除,您就有办法保持业务运转。

例如,如果您有一个远程的、基于云的主要生产环境副本准备立即启动,您可能希望在主要生产环境脱机以进行更广泛的修复时激活它。

恢复资产时,请务必根据您最新的资产识别工作对哪些资产已被删除以及您的网络上应该有哪些资产进行分类。这样,您就可以确保您没有错过任何东西,并且您的网络上也不会留下任何额外的惊喜。

漏洞恢复的第五阶段:为下一次攻击做准备

按照您制定的 BC/DR 计划从攻击中恢复后,重要的是要为下一次攻击做好准备。如果您被击中一次,您很有可能会再次受到同一组或使用相同攻击策略的其他人的攻击。

这是您对攻击的调查可以证明无价的地方。通过研究攻击方法并找出攻击者是如何进入的,您可以确定网络安全中导致攻击发生的漏洞并关闭它们。这样做可以帮助防止未来的违规行为。

此外,研究您的 BC/DR 计划实施可以帮助您了解如何改进未来的计划。进行这些改进有助于提高您对攻击的响应速度,并最大限度地减少攻击可能导致的停机时间和中断。

与值得信赖的网络安全合作伙伴一起保护自己

许多组织不确定在保护其基本系统免受安全漏洞的影响并制定计划以在事件发生时对其做出响应时从哪里开始。这就是为什么在您身边拥有经验丰富的托管网络安全服务提供商 (MSSP)如此重要的原因,无论是在危机发生之前还是在重大安全事件发生时。无论是评估网络安全控制、进行漏洞评估和渗透测试,还是通过共同管理的 SEIM 解决方案监控威胁,布尔云安团队都拥有帮助确保您的业务连续性的知识和专业知识。

转载请注明:布尔云安的博客 » 什么是安全漏洞(以及如何从中恢复)?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址