编译】斯诺登爆料NSA棱镜项目的新聞引发大家对加密工具和匿名化工具的兴趣越来越多的人开始想办法覆盖他们的行踪,以确保没有人会暗中偷窥他们PRISM-break.org等网站正在鼓励鼡户使用非专有web浏览器以及匿名化工具(例如Tor)。虽然这些工具非常适合个人使用但这可能给企业带来威胁严重的安全问题。
信息安全嘚主要原则之一是清楚你的网络中发生的事情如果不了解网络中的主机以及传输的流量情况,安全团队基本上在盲目运行监控(NSM)专门用於提供对网络的能见度,但匿名化服务和应用程序可能给安全人员制造盲点让安全人员难以找出攻击和防止数据泄漏。
为了减小匿洺化工具和加密软件对企业的影响企业需要从几个方面来解决这个问题。首先企业需要对与这些技术相关的控制执行风险评估,并最終可能需要创建新的政策和修订现行的政策对用户进行意识培训,并实施新的技术控制
这种风险评估的目的是确定对这些软件的使用是否会给企业带来威胁风险。在有些情况下匿名化软件可能需要用于企业环境中。例如CrowdStrike推出的新的Tortilla软件可以帮助安全团队进行恶意软件分析和情报收集。然而这个软件只能用于负责该活动的员工的,而不应该出现在首席财务官的行政助理的计算机中
风险评估应该主要围绕这些问题:合法使用情况、对网络能见度的影响以及是否会造成潜在的数据丢失。在回答这些问题后然后企业必须确定為解决这些风险需要付出的努力,包括调整政策、增强用户意识以及实施技术控制等
企业需要创建或者修改政策,从而让员工知道企业是否允许使用匿名化和加密软件以及谁被允许使用这些软件。在一般企业环境安全团队以外的人都不应该使用匿名化软件,而只尣许使用经企业批准的加密软件如果企业在保护其端点,那么最终用户应该不能被允许在其安装这些类型的软件。企业的政策必须明確规定允许使用这些软件的情况
企业更新政策后,还应该对用户进行意识培训如果企业中在使用加密软件,对这种软件的使用的培训应该进行调整以让员工知道只可以使用经授权的加密软件。
在确定经授权的软件和用例情况后接着,企业需要部署相应的技術控制根据已经部署的安全保护措施的不同,企业可能只需要做很小的调整或者也可能需要做很大的改变。例如很多企业环境限制對最终用户工作组的管理权限,不允许用户安装软件这种控制能够防止大多数匿名化和加密软件工具的使用。
不过 限制管理权限並不足够。用户可能仍然能够使用单独的或者基于web的软件这些软件不需要安装。在这种情况下企业应该使用应用程序白名单来防止这些未经授权的软件的运行。此外一些防病毒解决方案可能会将TorBrowser视为恶意软件,并在检测到时会发出警报
在网络层,我们有很多方法可以检测和阻止匿名化和加密流量例如,大多数入侵检测/防御系统(IDS/IPS)以及下一代能够检测Tor流量以及阻止知名的代理网站。在发布的Tor條目和出口节点将可以被阻止,而应用层代理可以检测流量只允许符合政策的流量通过。同样出口过滤器应该设置为只允许内部IP地址使用特定的端口和协议来与外面通信。
根据风险评估确定的风险水平并且,由于Tor流量通常使用TCP端口443(最常见的是用于HTTPS)一些公司可能會决定通过应用代理来执行对SSL流量的检测。当然这会引起一些隐私问题,因为这可能将加密的个人信息暴露给监控流量的安全团队成员这还需要所有的计算机系统具有SSL证书,以确保让这个检测过程看起来是透明的因为SSL流量检测会打破信任链。是否执行这种流量检测需偠由企业法律部门、管理和IT部门共同商讨
重要的是要记住,技术精湛的坚定的攻击者可能仍然有办法绕过上述的安全控制但上述方法能够阻止大多数员工的非法行为。企业必须清楚自己试图在抵御什么并基于这个问题进行风险评估。
原文发布时间为:2015年7月6日
本文來自云栖社区合作伙伴IT168了解相关信息可以关注IT168
原文标题 :企业如何有效抵御匿名化工具带来威胁的威胁
