網路攻擊事件,估計每年對企業造成的破壞高達五千億美元。它們能對企業造成這麼驚人的傷害,主要是因為今天的網路安全系統,使用集中式監控,在主要防火牆之外,幾乎無法保護組織的其他部分。因此,當公司遭到駭客攻擊,資訊科技團隊需要花好幾天來隔離受影響的系統、排除惡意程式碼,並恢復業務運作。等到他們確認、評估和解決遭駭事件,惡意程式碼通常已幾乎不受任何限制地蔓延到任何連結的系統,或甚至只是稍有相關的系統,這給駭客更多時間,取用敏感性資料,並造成運作失靈。
為了走在新的入侵技術之前,企業必須採用分散式的網路安全架構,配備智慧型機制,能自動切斷受到破壞的系統,或是預設為「安全模式」,讓它們降低運作水準,直到網路攻擊的影響受到抑制和改正為止。就像核能發電廠等高風險場址的一般安全系統,企業需要多層的備援安全機制和模控系統(cybernetic control system)。目標應該是創造一些「氣袋」(air pocket),沒有直接或間接的網際網路連線,以保護極為重要的設備和網際網路連線裝置。
每家公司的網路安全計畫都有獨特性質,但這個分散式架構有幾個根本要素,能協助企業移轉和消減攻擊者的力量均勢。
偵測
即使是最專業化設計的網路架構,如果不能偵測和了解它面對的威脅,就沒有作用了。企業目前面對更多網路病毒爆發,因為它們往往連偵測這些情況都做不到,等到發現時已經太遲了。今天建立的網路安全系統,可偵測以前確認的惡意程式碼和惡意軟體。但網路攻擊變化得十分快速,因此難以預測威脅的形態。
為確認和減輕演變中的新攻擊情境,安全系統需要搜尋異常狀況、分析它們是敵意行動的可能性,並納入持續擴大的可能性清單。這種偵測水準,應在許多不同層級的組件裡執行,以涵蓋連結到網際網路和實體環境的眾多裝置與系統組件。這些整合起來,形成好幾層的控制系統,以找出未知的和新形式的攻擊,做法是比較它們已知的未受損正常狀態,不但自行做比較,也結合其他系統來做比較。
這些系統並不是回應一組定義好的指標,而是偵測和因應資料流當中不合常規的情況,包括資料數量、類型、起源或時機的任何不規則情況。舉例來說,為決定是否應將某個人擋在線上銀行帳戶之外,有些銀行的網路安全系統開始使用人工智慧技術,比較人們通常是如何打字或使用電腦滑鼠的。
降低傷害
接下來的步驟,是要獨立啟動一個協定,把可能受損的系統下線、切斷它們與其他極為重要的設備之間的連線,或是將它們鎖在安全模式之內,以便盡量減少遭到攻擊的影響。目前的網路安全系統,如果確認遭到某種特定的攻擊,通常會觸發警報。但系統會繼續運作,並與其他系統通訊,直到資訊科技團隊關閉它們,並矯正機能失靈。...【閱讀全文】 |