网络作战室：为什么IT需要新技能来应对当今的网络攻击 我敢肯定，您已经了解了最近针对金融机构的网络攻击活动，并且可能想知道为什么以及如何如此成 功？原因很明确。网络攻击活动的特征从根本上发生了变化，但是缓解这些攻击的策略以及IT安全组织 采用的最佳实践却没有改变。 根本的变化是攻击时间-听起来很简单，但实际上并非如此。 攻击变得更加持久，并且比以前更长。这要求IT安全小组具有强 大的抵抗能力和响应能力。 实际上，如果您的组织受到与今年针对美国证券交易所和金融机 构的全球攻击活动类似的攻击目标，那么您注定无法保护您的站 点。 如果您的IT安全部门或安全服务提供商没有训练有素的“网络作 战室”团队来对抗这些攻击活动，那么您的站点很可能会被当今 的大规模攻击活动所破坏。 评估或衡量每个攻击活动的风险涉及以下主要参数： • 攻击时间-以小时和天为单位 • 向量-不同攻击的数量，例如，基于网络的服务拒绝（DoS）， 应用程序级别DoS，低级和慢速隐身应用程序级别攻击，入侵攻 击类型等。每种攻击都被视为不同的攻击向量。 •消息 来源-谁在攻击背后？专业人士，新手攻击者，志愿者等。我们将最专业的攻击者或黑客定义 为“内部周期”来源。 下图显示了攻击运动仅在过去两年左右的时间里取得的一些重大进步： 为什么攻击特性发生了重大的根本性变化，却使IT组织措手不及？ 因为多年来，IT安全组织仅在两个操作方面受到过良好的培训： • 攻击前的安全审核操作，包括应用程序漏洞扫描，渗透测试，安全程序审查等。 • 攻击后取证分析操作，包括对过去发生的安全事件进行分析，以了解攻击（或敌人）并为下一次 更好地做好准备。 毫无疑问，这是IT小组应继续执行的两项非常重要的功能，因此这些最佳做法仅在攻击持续时间很短 （几秒钟或几分钟）的情况下才有效。下图说明了这一点： 安全审计和取证分析操作都是在假设网络资源不在大规模攻击活动或任何攻击活动下的前提下进行的。 这是一个合理的假设，而攻击确实是短暂的，如上所示。 但是，当攻击时间为20天并结合了不断变化和发展的多个攻击媒介时，会发生什么？最终，这些持续的 攻击总是会发现弱点或盲点，并将渗透到网络中。例如，结果将是网络无法为公司客户提供服务（拒绝 服务）或给客户带来非常负面的客户体验的日子。 IT安全小组将做什么？他们会等到攻击结束后才开始取证操作吗？可能不是，因为他们需要“立即采取 行动”。这意味着他们可能会遇到不准备应对的非常艰难和陌生的约束。 下图说明了安全IT小组应支持的新攻击条件和新功能，我称之为“网络作战室”功能。 所需的“网络作战室”功能可以定义如下： •能够在假期等情况下做出24/7反应的团队。 •团队必须由一组安全专家组成，这些专家经过“网络战争”的训练有素，可以进行“火力不 足”。 •团队应该有能力抵御几天以上的长时间攻击。他们应该能够顺利地将职责从一个职责转移到另一 个职责，以便长时间保持抵抗力。 •团队应配备高级工具，以帮助其成员分析流量并实时创建新的保护措施。 •团队必须具有对网络和应用程序安全设备的知识和控制，并具有控制网络路由器和交换机的能 力。 •最后但并非最不重要的一点是，他们应该具备开发“反击”行动的专业知识，以试图击败攻击 者，或者换句话说，使他们退出。有关反攻击操作的更多信息，请参阅我的上一篇专栏文章。 “战争室”是来自真实战场的术语。网络攻击活动呈现出类似的状况，因此必须采用相同的方法-由组 织IT或安全服务提供商进行。 “网络作战室”功能将成为IT应迅速适应的一项新的基本操作。我可以看到，在不久的将来，这些“网 络作战室”将需要彼此之间甚至不同公司之间进行合作，以抵御新型的网络攻击活动。