Gartner之2020年的信息安全(2):以“信息和人”为中心,监控和情报是关键

围观次数:471 views

接上一篇《Gartner之信息安全2020年(1):防范将不再重要,监控和情报是关键》原文为《Prevention Is Futile
in 2020: Protect Information Via Pervasive Monitoring and Collective
Intelligence》,不一定是原文意思,夹杂了我的观点,肯定也存在翻译有些不到位的地方,多沟通。也借用了Nuke、DJ等同学的资料。



(六)变化1:从以“网络或系统”为中心的策略,转变为“以信息或数据为中心”的策略

Shift to an Information-Centric Security Strategy

1、2020年,企业的IT设施基本都采用基于云的服务模式,企业对网络、服务器、系统或应用软件都不在具备控制权。在大部分情况下,企业仅仅控制了信息(数据)

2、信息安全策略的转变:从一个“自下而上”的以网络为中心的战略,转变为“自上而下”的“以信息为中心”的策略,安全能力集中在信息(数据)本身。

下图描述了不同场景下的信息安全策略的变化

下图描述了针对企业和个人不同的信息保护对象

(七)变化2:“从以控制为中心的安全演进至以人为核心的安全”

Shift From Control-Centric to People-Centric Security

以人为中心的安全(PCS)创建了一个现代化的,有效的,和成本更低的替代传统防护体系的思路。
PCS基于一系列的的关键原则, 个体权利以及相关的责任等。每个个体都有一定的权利但是也必须遵循相关的职责。如何个体的行为不是按照正常的行为方式,这些人将受到控制或处理。PCS是以人的行为为控制点,采用行为分析的方式来发现安全异常


(八)变化3:安全能力从“防范”为主转向“快速检测和响应能力”的构建


面对高级的定向攻击(APT),我们不能完全阻止控制攻击者进来,能有效的做法是控制其行为,避免进一步的攻击和破坏。此部分的重点工作:

  • 按照以信息为中心的安全策略,监控的重点可以根据场景的不同,监控对应用、数据库、文件系统、内容管理系统的访问。
  • 重点监测的工作首先对企业最关键的信息资产——典型的财务和客户数据库,然后扩展到其他敏感的数据。
  • 使用场景化的情报描述,可以提高结果的准确度。
  • 端点监控(Endpoint)仍是关键。可以让原厂商提供内置的日志和审计功能。
  • 未来五年内,随着大数据的规模增大,信息安全监测的量级会越来越大。
  • 用户的访问行为很关键,可以通过全面的监控措施,比如DAP、IAM来综合分析确定用户的访问行为,在云计算环境下,CASBs(cloud access security brokers)的可以有效的记录用户的访问行为。

(前几天Gartener公布了2014年的十大信息安全技术,其中排名第一的是“云端访问安全代理服务”,即Cloud Access Security Brokers。)
多说一句:可以以物理设备、软件、虚拟设备和云服务等多种形式部署与终端和SaaS服务之间,提供认证、发现、日志、加密、令牌化、DLP、恶意代码过滤等多项功能。引用一张图描述CASBs的功能组成。

(九)变化4:安全防护从“个体或单个组织”的防护,转变为“安全情报驱动”的信息共享、集体协作方式

(Incorporate Collective, Community-Based SecurityIntelligence Services)

2020年,面对高级的定点攻击,任何企业单打独斗都不足以对抗攻击者。企业需要有更好的安全情报分享(包括攻击者的位置、方式、使用的工具武器、技术手
段、攻击目标等),只有通过内部的监控、外部情报的共享,产生更全面更详尽的基于场景的可视化的数据以提供安全决策。

图6描述了企业如何参与并进行安全情报的分享。(所有的场景都需要分享安全情报)根据响应能力(authority)不同,情报主要来源可分为vendors and government(服务商和政府)主导提供,或者通过在同行业企业之间的联(coalitions among enterprises in the same industry)来提供情报。

图6描述了企业如何参与并进行安全情报的分享

这里谈到的安全情报,主要包含了三类服务

  • 信誉服务:指识别“坏”的IP地址、URL、域名等,比如C2服务器地址、恶意代码等;
  • 威胁情报服务:对企业提供安全威胁情报。包括攻击者机器战术、技术和过程的情报服务,包含并不限于攻击工具、C2架构、被利用的漏洞、攻击方法等情报。
  • 攻击者情报服务:对于个体,主要提供攻击情报服务,可以简单理解为简化的威胁情报。

完成,收工。

1人评论了“Gartner之2020年的信息安全(2):以“信息和人”为中心,监控和情报是关键”

  1. 预测的前提的APT、BYOD和云服务,这个前提在国内是怎么样的变化趋势?对不同行业有区别,如果前提变化了,方向会向哪个方向调整呢

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助