在2016年RSA大会上,企业首席信息安全官探讨了云访问安全代理(CASB)的价值,他们认为CASB模式是全面云安全的关键。
在Garter公司副总裁兼分析师Neil MacDonald主持下,由首席信息安全官和安全主管组成的专题小组探讨了为什么他们部署CASB以及他们如何使用CASB。该小组成员包括Sallie Mae公司高级副总裁兼首席安全官Jerry Archer;Morgan Stanley公司全球首席信息安全官Gerard Brady;Stryker公司首席信息安全官Alissa Johnson;以及通用电气安全运营和网络智能高级主管Richard Puckett。
在讨论开始时,MacDonald介绍了最近几年出现的CASB如何变成企业对其用户使用的众多云应用及服务的控制点。他解释了云访问安全代理如何利用各种不同的功能来保护企业,例如云应用发现、用户身份验证、使用量监控以及数据保护–包括加密和数据丢失防护(DLP)功能。
MacDonald还表示,CASB市场已经扩大至包含18到20家供应商的市场,这些供应商的收入估计达到1.8亿美元。
MacDonald表示:“在过去的四年中,这个市场从零发展成真正的市场。”
云访问安全代理的商业案例
MacDonald询问小组成员,什么在推动他们各自企业中CASB的部署?Archer表示,合规性是他们部署CASB的最大原因,“这里的主要驱动力是合规性的需要,就我们而言,这是FFIEC信息安全手册。”
Archer还说道,Sallie Mae的目标是加密所有财务数据,但仍然保持提供员工需要的企业云服务。他表示,加密组件很关键,因为Sallie Mae想要确保企业外的人(包括云提供商)无法查看或访问这些数据。“当数据离开我们的环境并进入云服务提供商环境时,我们可以加密所有数据,并且只有我们有密钥,”Archer表示,“该云服务提供商不能以任何形式透露任何信息,因为数据被完全加密。”
Morgan Stanley公司的Brady表示,影子云使用的问题非常紧迫,其公司正在同时开展多个CASB项目–与不同的供应商。“我们首先会查看可视性,这让我们可围绕事件相应构建流程,还可以管理云使用,”他表示,“我们使用CASB也是因为早期的加密,我们可能还会在未来几个月整合这些项目到单个CASB项目。”
Johnson表示,当她去年加入Stryker时,她被要求确定“容易被攻击者得手的”安全问题,“我认为,在云访问安全代理后,唾手可得的安全问题是影子IT,”她称,“我发现我们在使用超过2000云服务,我甚至不知道存在2000个服务。”
Puckett表示,他的公司主要面对的挑战是防止数据从GE环境转移到没有任何控制的云环境。
“如果你不采取任何形式的测量,你就无法了解风险情况,”Puckett表示,“当GE评估风险时,我们发现大规模跨云提供商的众包,从软件即服务(SaaS)到平台即服务(PaaS)以及基础设施即服务(IaaS),正是这些云服务让我们担心数据泄露。”
Puckett还好指出,单靠云安全政策来防止员工使用未经批准的服务或参与高风险活动简直是“天方夜谭”。
处理影子云服务
Puckett称,自通用电气开始使用CASB以来,该公司对于官方批准的云计算服务“更加积极
”。该安全团队可能会发现员工在使用IT部门尚未批准的影子云服务,但Puckett表示,只要云服务使用可受到监控以及在GE安全政策控制范围内,该公司就不会阻止这些服务。他说:“我们允许和容忍特定未经批准的云计算提供商在商业环境中使用,只要他们遵循正确的做法。”
Johnson表示,Stryker并没有立即阻止对未经批准云应用和服务的访问;相反,该公司的CASB(Skyhigh Networks)会提醒员工这种使用可能违反Stryker的安全政策,MacDonald称这是“软控制”,而不是硬控制。他说道:“我们希望这会让政策变得更容易接受以及同意,而不是让人们感到生气,因为你阻止了他们的服务使用。”
Brady称,Morgan Stanley阻止很多云计算应用和服务,但与GE一样,该金融服务公司会对有意义的使用批准特例。但由于Morgan Stanley发现员工使用的未经授权云服务“数以千计”,Brady称该公司必须部署某种硬控制来防止企业数据通过这些服务被泄露。
Archer称,Sallie Mae尝试对云服务进行白名单化,而不是阻止未经授权的服务,但他也表示其公司对待云服务未经授权使用非常严格。“我们的政策规定,如果任何人在企业外部使用未经批准的服务导致敏感数据泄露,他们将受到纪律处分并可能被辞退,”他表示,“如果我们抓到他们在使用DLP,他们讲接受严格的调查处理。”
但Archer表示他的安全团队会通过其CASB的DLP功能查看所有离开企业环境转移到云的数据,这可以阻止员工误操作,但并不能够阻止外部威胁行为者渗出数据。Archer说:“大家都知道,DLP基本会阻止员工错误的行为,但并不能阻止真正的攻击者,所以我们会尽可能抓出错误行为,而员工也将为此付出代价。”
Puckett称,云访问安全代理生成的数据可以帮助企业审核潜在的云服务。例如,云服务可能不只是缺乏安全控制(例如SSL或加密),它们还可能有对企业不利的使用条款。他表示:“某些多租户供应商可能会说,‘如果你把数据放在我们提供商处,那就属于我们。’”
但他也表示,管理云服务的问题“并没有随着时间的推移而得到改善”,因为安全管理人员不仅需要监控企业到云的连接。他看到越来越多的云服务之间通信以及发送企业数据,例如从IaaS工作负载转移到SaaS,然后到存储服务。
“这些离网操作越来越难监控,因为它们正在以几何速度扩展,”他表示,“我们需要开始谈论这种CASB模式的下一个演进,因为这不是我们可以追逐的问题。”
最后,该小组成员表示云访问安全代理已经成为其公司安全态势的不可或缺的组成部分,并为观众提供有关CASB的建议。Archer称,企业在使用CASB时,需要保持灵活性。他说:“我认为最重要的事情是,不要完全承诺到一个供应商,因为一切都会变化–速度超过你的想象。”
Brady同意称,虽然CASB提供重要的云安全控制,企业应该记住,这个领域势必会波动和转变。Brady称:“这个市场还不是一个成熟的市场。”
Puckett建议企业在部署CASB模式之前,需要制定战略用于处理未经批准和经过批准的云服务,退出云服务,以及处理加密密钥。他说:“如果你没有这三样东西,那么祝你好运,因为每次文化都会胜过安全。”
Johnson鼓励观众在与其他安全小组成员以及与高管人员的讨论中,使用CASB提供的可视性和指标来说服他们。她说道:“这种对话的最佳方式是用数据说法,我从云访问安全代理获取的数据帮助我说服了高级领导团队。”
如何设置WIN7与XP共享打印机,为什么我的WIN7找不到网络打印机???
如何解决XP/Win7文件不能互访,而不是一个“唯一确定的解决办法”。 很多时候,一个看上去无关的系统默认设置,很可能就会造成系统之间无法正常访问,因此,谁都无法凭空造出一个完美解决方案。
对于这个的问题,一直认为没有唯一确定的解决方法,也就是说,在遇到具体的情况时才能找到具体的解决办法。 但实际上,我们也可以总结出一个大概的解决思路,然后在根据大概的思路,具体问题具体对待。
在Winodws XP和Windows 7之间出现文件共享或互访的障碍时(包括局域网内互访和双机互联的情况),我们可以从以下几个方面入手。
1.防火墙是否关闭
如果在Windows 7和Windows XP之间无法看到对方,首先请坚持二者的防火墙是否关闭。
关闭Windows 7防火墙
在关闭Windows 7和Windows XP的系统防火墙后,你要注意是否安装了第三方防火墙。 如果已安装,请关闭。
XP系统的电脑无法访问Windows7的共享文件夹,有些虽然能看到Windows7下的共享目录,但是一旦进入目录,就会提示没有访问权限。
2.开启Guest账户
直到现在,也没有一个比较合理的解释来说明,为什么不开启Guest账户会影响到Windows系统之间的互访。 这一情况在解决Windows 98和Windows XP之间已经是不止一次的得到印证。 因此,在Windows XP和Windows 7之间的互访,也需要开启Guest账户。
开启Windows 7的来宾账户
同样的,你还需要在Windows XP系统中,也开启Guest来宾账户。
3.文件和打印机共享
当用户将防火墙关闭,来宾帐户也已经开启,但仍然无法实现互访时,用户需要分别开启Windows XP和Windows 7防火墙下的“文件和打印机共享”。
开启Windows XP防火墙下的文件和打印机共享
特别提醒一句,如果你是通过远程共享的方式进行的访问,还应该找到远程服务有关的项,并分别将他们开启。
4.用户权限
在Windows 7系统中,出于系统安全的考虑,微软赋予了管理员帐户更高的安全权限。 但这种“高权限”设置,在系统互访时会造成更多的访问障碍。 通常情况下,由于Windows 7系统对于系统访问“警惕性较高”,因此,如果遇到系统提示权限不够时,你需要赋予访问者更高权限。
小知识:Windows 7系统中的安全账户权限
包括一些Windows 7用户在内,很多人都认为Administrator帐户是系统内最高权限的拥有者,其实并非如此。 微软在Windows 7中还设置了一个隐藏账户,它具有更高的权限。
回到刚才的话题,由于对方是网络访问,你在局域网中很可能因为无法为具体的访问账户提升权限,因此,你就需要降低被访问的文件(夹)的权限,也就是说,间接赋予访问者“完全控制权限”。
降低被访问文件夹的权限Windows 7
特别提示:
如果用户按照上述方法设置后,访问者依然无法访问共享文件,建议大家在“123属性”文件夹中,切换到“安全”标签,然后给文件夹添加访问用户的完全控制权限。
5.安全软件或系统辅助软件
在Windows XP时代,鼎鼎有名的系统辅助类软件,莫过于Windows优化大师,已经超级兔子魔法设置。 在Windows 7平台下,此类软件依然有部分用户在使用。 此类软件也是出于系统安全的考虑,一般会关闭系统远程访问,或是文件夹共享等。 如果你安装了此类软件,那就需要查看它们的程序设置,是否关闭了共享和远程服务等。
此外,在一些杀毒软件中,它们也会对远程服务和访问予以限制,你同样需要解除限制。
Web木马分哪几类?
Web木马是在登录窗口弹出,企图截取证书的恶意程序。 安装在机器上后,该木马会静静等待用户访问某个特殊的Web站点(或一组站点)。 如果用户访问那个站点,木马将一个伪造的登录窗口放置在该站点本来的登录窗口上面。 但用户并不知道自己的机器上安装了木马,还是照常进行登录,以为自己是在往这个Web站点输入信息。 实际上,在本地输入的信息已经传送给攻击者,将会加以滥用。 Web木马并不总是复制登录窗口。 例如,它们还能够在登录窗口中添加另外的字段,以收集更多信息。 举例来说,.D在它伪造的登录窗口中添加了一个字段,要求受害者输入PIN(除用户名和密码外)。 同样,一些Web木马等待用户正常登录,然后再显示其他表单字段,要求他们输入数据。 ——————————————————————————————————————————————— 其实,web木马并没有明显的分类,都是网页中的弹出窗口等。 分类并不明显,只有危害用户的方式不同而已。
网络用语木马是什么意思?
古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。 围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。 特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。 到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。 后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
发表评论