美國加州的聖地亞哥是衆多網絡攻擊者垂涎的目标,這座城市平均每天都會遭遇50多萬起網絡攻擊事件,持續掌握整個網絡的實時狀态十分關鍵。聖地亞哥的狀态并非個例,許多城市都面臨相同的挑戰:智慧城市到底該如何開展城市資料安全防護?
gary hayslip是國際上最早的網絡安全專家之一,目前是聖地亞哥市的首席資訊安全專家。聖地亞哥也是網絡安全領域的一個中心城市。在這個物聯網安全威脅肆虐的高峰時期,每個人都在焦灼急切地尋找解決方案。
他曾為美國國防部效力,任期包括20年的現役軍事和7年的軍隊公務員工作。然而“智慧城市”的安保與他27年的國防部工作經驗截然不同。“每個城市都不會摒棄先進的技術。如果它能解決問題,為什麼我們要放棄?是以到最後,整個城市都被各種各樣的技術連接配接在了一起。“hayslip說。
“警車、救護車、圖書館、水源處理設施、高爾夫球場等等這些基礎設施加起來,整個聖地亞哥市的總價值達40億美元。而且一個城市永遠不會打烊,7天24小時地營業,”他說道,“我在國防部27年,從來都不知道原來城市網絡是個這麼有趣的東西!”
聖地亞哥市不斷探索着智慧城市的安全解決方案,改善公共安全和交通領域,然而這個問題的複雜性也随着聯網裝置的增加而不斷上升。
“智慧城市中有着無數的物聯網裝置,随着這些智能基礎設施的增加,你可能會開始思考——如果我改變了某個裝置上的某個軟體究竟會發生什麼?其造成的影響會是‘滾雪球式’的嗎?很多時候隻有真正遇到了問題你才能知道答案,”hayslip說。“作為一個安全專家,從風險的角度來看,這種未知性的确讓我十分恐懼。”
正是看到了這種未知性,聖地亞哥市才會如此重視整個城市it環境的安全問題。整個城市網絡為40個部門的11,000多名員工提供服務,涵蓋40,000多個終端。“網絡是如何被人們所利用的?資料流向哪裡?我有哪些連接配接點?網絡中究竟有些什麼?對于這些問題我都十分困惑。”三年前被聘為聖地亞哥市副主任與首席ciso的hayslip這樣說道。
這不是一個一夜之間就能解決的問題。hayslip和他的團隊制定了一個五年計劃。首要步驟就是引入來自nist(美國國家标準與技術研究所)的計算機安全指導政策架構。“有了架構之後至少你有了一些評估參數,能夠确定目前情形的嚴重性,不至于陷入極度的恐慌之中。你可以利用這個架構,以成熟明智的心态看清自己的位置。一旦有了這個基準線,你才可以穩定地開始下一步。”
但是标準的制定也比較棘手,因為一個城市的各個職能部門會不斷引入新的技術、不斷更新已有的基礎設施,整個網絡狀态在不斷地發生變化。“如果某個組織機構的技術變更率非常高,那麼你很快就會發現擁有一個穩定的标準十分困難,而且可能在很長一段時間内都無法實作。”他說道。
意識到了這種波動性,于是hayslip采納了nist持續監控、掃描與修複的模型。“網絡安全的保障實際是一個完整的生命周期。其基本含義是你永遠不能停下腳步、隻能選擇前進。我們應該把網絡看做是一個庫存(inventory)與評估、掃描、監控與修複的真實的生命周期。你需要一遍一遍地去完成它。”
考慮到聖地亞哥是衆多網絡攻擊者垂涎的目标,持續掌握整個網絡的實時狀态十分關鍵。“我們平均每天都會遭遇50多萬起網絡攻擊事件,”hayslip說。“其中很大一部分都是自動産生的,但也有一些是人為操縱,是某些幫派的蓄意攻擊。”
聖地亞哥不是唯一的攻擊目标。過去幾年中,許多公共機構都成為網絡罪犯感興趣的攻擊對象。根據2016年ibm x-force網絡安全情報指數顯示,政府是網絡攻擊最為嚴重的五大行業之一。“哪裡有資料,哪裡就有幫派。說得好聽點,他們是公平的。一個城市往往擁有海量的資産和資料,是以不管怎麼樣,我們都很容易受到網絡攻擊。”
多個産品協同防禦
安全掃描方面,聖地亞哥市使用了tenable,其整合了carbon black桌面終端安全的技術。
在資料治理方面,聖地亞哥利用了varonis的技術。“我們利用varonis擷取資料所在位置以及誰在通路哪些資料等資訊。然後再利用tenable驗證所收集到資訊的真實性,以及網絡上資産的流向,”hayslip說。“利用這些技術你可以解決很多問題。”
在統一威脅監控方面,聖地亞哥目前使用的是cyphort。這是一個能夠讓我們看到實時攻擊以及安全元件中的哪些資産正在對威脅作出響應的平台。另外,我們會将這些資産中的安全事件資料以及其它資源注入sumo logi,這是一個提供日志及度量管理的、基于雲的分析服務産品。
“我們正在開發自己的儀表盤,也就是一個能夠觀察所有分析結果的統一平台。通過資料、網絡、資産利用方式的變化趨勢,不斷地利用它來發現漏洞,”hayslip說。發現漏洞以後,我們使用attackiq,這是一個實時的遠端測試平台,能夠幫助我們驗證安全問題的真實性。“如果确定問題是真實的,則通過掃描結果送出任務單,修複問題。”他說。
随着對tenable技術的不斷熟悉,我們逐漸發現它的功能遠比我們想象的強大。“一開始購買這個東西時,我們認為它隻能解決單個問題,”hayslip說。“現在我們發現它的價值遠遠不止這些。tenable可以說是我們整個安全裝置體系中的核心要素。”
到目前為止,tenable所産生的價值遠大于支出。整個城市平均每月都有200台受感染的裝置,每台裝置造成的生産力價值損失高達600美元。但是部署tenable以後,受感染的裝置下降到平均每月35台,也就是說它每年為這個城市減少了130萬美元的生産力價值損失。
從商業的角度解釋網絡風險
hayslip在維護與城市中各部門的關系上作出了很大的努力,這一點能夠幫助他們的安全團隊與保障項目的初始階段不脫軌。他花了一定的時間去了解廣大市民,了解他們是如何工作的,他們需要什麼樣的應用和資料以及他們的客戶是誰。
“我認為自己是他們的合作夥伴,并且希望能夠在安全項目起始階段就起到作用,而不是等到最後,”他說。“我希望能夠在使用納稅金之前就把問題解決了。”
但是事情不可能永遠朝着我們所想的那樣發展。早前,我們的安全團隊可能會受陌生的資料類型所影響。“當你進行安全掃描時,突然發現一些異常情況。你以為這是個漏洞或者發現某台機器受到感染了。但結果發現并不是機器,而隻是一個路燈。”
hayslip認為他需要和城市中的很多部門好好溝通一下安全風險問題。“我在掃描和其它工作中發現風險都不是來自于我這裡,而是來自于很多企業和相關機構。而他們對待風險的優先級和我的完全不同。”
hayslip使用的一個有效的政策是和企業談論商業風險而不是網絡威脅。很多部門關注的是企業營運、資金流以及為市民提供的服務。“當你讨論無法正常提供基礎設施服務,例如市内的高爾夫球場每年收益4千萬美元,一旦遭受攻擊、面臨巨額損失時,他們就會坐下來全神貫注地聽你講的東西了。我們應該站在他們的角度談論商業,而不是網絡。”當hayslip從商業角度解釋風險時,這些部門人員就會意識到問題的嚴重性,厘清優先次序。“這也就是為什麼我稱它為‘網絡即服務’。我向他們展示所有的風險,解釋會産生的影響,這些風險如何對正常業務造成損害,然後我們才能一起确定事件的優先項。”
“我還是會記錄攻擊數量、修複次數以及衆多的安全問題,因為這是我的工作。而且我需要從預算的角度向人們展示我們團隊所做事情的價值,”hayslip說。“但是這些東西我不會跟商業機構分享,因為這不是他們感興趣的點。”
hayslip一直遵循這個理念,讓企業意識到網絡安全的重要性。他會參加一些中小企業的論壇以及專業小組,幫助私企提高他們的網絡安全狀況。他認為這是他代表這個城市的工作使命之一。
從長期來看,聖地亞哥的目标無非是開發一個足夠靈活的能夠抵禦攻擊的基礎設施架構。這也是所有的機構都希望實作的狀态。聖地亞哥正在實作這個目标的道路上不斷努力。
同時,很多市民也都在不斷地使用新技術,他們希望獲得更多siem(安全資訊與事件管理)的資料,很多人都想知道他所面臨的風險。
原文釋出時間為:2017-03-01
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号