21
企業如何有效抵禦匿名化工具帶來的威脅
本文講的是 : 企業如何有效抵禦匿名化工具帶來的威脅 , 【IT168 編譯】斯諾登爆料NSA棱鏡項目的新聞引發大家對加密工具和匿名化工具的興趣,越來越多的人開始想辦法覆蓋他們的行蹤,以確保沒有人會暗中偷窺他們。PRISM-break.org等網站正在鼓勵用戶使用非專有web瀏覽器以及匿名化工具(例如Tor)。雖然這些工具非常適合個人使用,但這可能給企業帶來嚴重的安全問題。
信息安全的主要原則之一是清楚你的網絡中發生的事情。如果不了解網絡中的主機以及傳輸的流量情況,安全團隊基本上在盲目運行。網絡安全監控(NSM)專門用於提供對網絡的能見度,但匿名化服務和應用程序可能給安全人員製造盲點,讓安全人員難以找出攻擊和防止數據泄漏。
為了減小匿名化工具和加密軟件對企業的影響,企業需要從幾個方麵來解決這個問題。首先,企業需要對與這些技術相關的控製執行風險評估,並最終可能需要創建新的政策和修訂現行的政策,對用戶進行意識培訓,並實施新的技術控製。
這種風險評估的目的是確定對這些軟件的使用是否會給企業帶來風險。在有些情況下,匿名化軟件可能需要用於企業環境中。例如,CrowdStrike推出的新的Tortilla軟件可以幫助安全團隊進行惡意軟件分析和情報收集。然而,這個軟件隻能用於負責該活動的員工的工作站,而不應該出現在首席財務官的行政助理的計算機中。
風險評估應該主要圍繞這些問題:合法使用情況、對網絡能見度的影響以及是否會造成潛在的數據丟失。在回答這些問題後,然後企業必須確定為解決這些風險需要付出的努力,包括調整政策、增強用戶意識以及實施技術控製等。
企業需要創建或者修改政策,從而讓員工知道企業是否允許使用匿名化和加密軟件,以及誰被允許使用這些軟件。在一般企業環境,安全團隊以外的人都不應該使用匿名化軟件,而隻允許使用經企業批準的加密軟件。如果企業在保護其端點,那麼,最終用戶應該不能被允許在其工作站安裝這些類型的軟件。企業的政策必須明確規定允許使用這些軟件的情況。
企業更新政策後,還應該對用戶進行意識培訓。如果企業中在使用加密軟件,對這種軟件的使用的培訓應該進行調整,以讓員工知道隻可以使用經授權的加密軟件。
在確定經授權的軟件和用例情況後,接著,企業需要部署相應的技術控製。根據已經部署的安全保護措施的不同,企業可能隻需要做很小的調整,或者也可能需要做很大的改變。例如,很多企業環境限製對最終用戶工作組的管理權限,不允許用戶安裝軟件。這種控製能夠防止大多數匿名化和加密軟件工具的使用。
不過, 限製管理權限並不足夠。用戶可能仍然能夠使用單獨的或者基於web的軟件,這些軟件不需要安裝。在這種情況下,企業應該使用應用程序白名單來防止這些未經授權的軟件的運行。此外,一些防病毒解決方案可能會將TorBrowser視為惡意軟件,並在檢測到時會發出警報。
在網絡層,我們有很多方法可以檢測和阻止匿名化和加密流量。例如,大多數入侵檢測/防禦係統(IDS/IPS)以及下一代防火牆能夠檢測Tor流量,以及阻止知名的代理網站。在防火牆,發布的Tor條目和出口節點將可以被阻止,而應用層代理可以檢測流量,隻允許符合政策的流量通過。同樣,出口過濾器應該設置為隻允許內部IP地址使用特定的端口和協議來與外麵通信。
根據風險評估確定的風險水平,並且,由於Tor流量通常使用TCP端口443(最常見的是用於HTTPS),一些公司可能會決定通過應用代理來執行對SSL流量的檢測。當然,這會引起一些隱私問題,因為這可能將加密的個人信息暴露給監控流量的安全團隊成員。這還需要所有的計算機係統具有SSL證書,以確保讓這個檢測過程看起來是透明的,因為SSL流量檢測會打破信任鏈。是否執行這種流量檢測需要由企業法律部門、管理和IT部門共同商討。
重要的是要記住,技術精湛的堅定的攻擊者可能仍然有辦法繞過上述的安全控製,但上述方法能夠阻止大多數員工的非法行為。企業必須清楚自己試圖在抵禦什麼,並基於這個問題進行風險評估。
最後更新:2017-10-11 16:33:43