中小金融机构应进行信息安全检测
2022/03/21近期一家年收入达到122亿美元的国际保险集团巨头遭受网络安全攻击,对其内部系统遭受了不同程度的影响。对比之下,国内中小金融机构无论从人力财力投入,以及安全体系的完善程度,都无法和该保险巨头比肩,那么信息安全工作应该从哪里入手呢?笔者认为最重要的是建立全面有效的信息安全检测手段。
网络安全形势严峻
近年来信息科技技术推动社会不断进步的同时,也给信息安全工作带来了极大挑战,尤其是以APT(高级持续性威胁)攻击为代表的新兴威胁,绝大多数机构无法做到杜绝一切安全隐患。因此,信息安全工作的本质是提前发现安全隐患和处理,而绝非在出现信息安全事件后的补救和应急。
在此基础,为避免公司正常运作遭受网络安全事件的影响,安全管理员只能依靠科技手段,在“威胁出现”至“事件发生”期间内检测出已经形成的安全隐患,只有通过专业的检测手段才能够快速、准确地寻找到隐患原因及处理方式,从而“对症下药,药到病除”。
新兴网络环境下,面对层出不穷的网络攻击,也对网络安全工作提出了新的要求。杀病毒、防火墙、入侵检测这传统的“老三样”,已经难以应对人为攻击,且容易被攻击者利用。
构建信息安全检测手段
在复杂且困难的环境下,中小金融机构须从资产漏洞、网络流量、用户行为、威胁情报、日志分析等维度建立信息安全检测体系。
资产漏洞分析是一家公司信息安全体系建立的根本,因为网络安全攻击往往大都是利用信息资产存在的安全漏洞进行危害。要降低攻击可能性,最重要的安全防护手段就是在遭受攻击之前主动发现资产存在的脆弱性问题,并进行修补,防患于未然。根据漏洞扫描结果,通过正式工作通知的方式将每一个漏洞的管理落实到具体人员,并要求限期处理。待资产责任人反馈漏洞修复之后,系统将再次对风险资产进行扫描确保漏洞得到修复。
网络流量分析是信息安全检测必不可少的一环。网络流量分析解决方案融合了传统基于规则的检测技术,以及机器学习和其他高级分析技术,通过监控网络流量、连接和对象,找出恶意的行为迹象,尤其是失陷后的痕迹。
用户行为分析可以发现用户或信息资产可能存在的异常行为,因为大部分的网络攻击虽然来自公司外部,但最严重的损害往往是由公司内部人员所造成的。“管理好内部威胁才能保卫网络安全”已经逐渐成为一种共识。通过用户行为分析的应用,对用户或信息资产进行综合评分,识别内鬼行为和已入侵的潜伏威胁,从而达到提前预警的目的。
如果用户行为分析带有猜测的成分,那么威胁情报的存在就是通过证据对安全行为进行“判决”。通过威胁情报的分析,可及时获悉资产已经或即将面临的安全威胁并准确预警,结合最新的威胁动态,最终实施积极主动的威胁防御和快速响应策略,准确地进行威胁追踪和攻击溯源。
仅通过资产、流量、行为和情报的分析检测公司信息安全实时状态是不全面的,还应结合安全日志的统一收集和分析进行全面检测。针对各种层出不穷的数据源类型,使用交互式日志语义解析思路,确保多厂家、多层次数据免插件、自动柔性接入,大幅降低后期各类数据接入的技术及人力成本。
拥有全面有效的检测手段后,为便于公司和管理员高效、便捷地获取整体情况,可建立信息安全一体化全局展示。通过资产、流量、行为等多维度的有效数据采集,实时监控全网的安全态势、内部横向威胁态势、业务外连风险和服务器风险漏洞等,让安全管理员可以高效感知全网网络安全状态,从而形成一套基于“事前检查、事中分析、事后检测”的网络安全检测闭环。
想要了解更多资讯,请持续关注中国信息安全资质评定中心网站!