著名的軍事家和哲學(xué)家孫子曰:“知彼知己者,百戰(zhàn)不殆?!眱汕昵暗倪@句名言放在時(shí)下網(wǎng)絡(luò)安全格局里是再恰當(dāng)不過(guò)的了。私營(yíng)部門和公共部門的安全領(lǐng)導(dǎo)者往往會(huì)忽略一些自己已經(jīng)擁有的網(wǎng)絡(luò)防御能力的基本問(wèn)題。就網(wǎng)絡(luò)安全領(lǐng)域而言,這可以歸結(jié)為以下的問(wèn)題:“我是否知道我的內(nèi)部控件在以應(yīng)有的工作方式運(yùn)作?我們的網(wǎng)絡(luò)狀況是否安全?”
了解內(nèi)部弱點(diǎn)和漏洞在時(shí)下尤其重要。公司處于非活動(dòng)期間時(shí)(例如美國(guó)最近的政府停擺時(shí)),一些組織特別容易發(fā)生數(shù)據(jù)泄露。安全證書可能在非活動(dòng)期間到期了,代理在此期間更虛弱更容易受到各種威脅的攻擊。而且由于需要處理大量的積壓工作,安全團(tuán)隊(duì)也無(wú)暇處理基本的安全任務(wù)。
要真正做好應(yīng)對(duì)網(wǎng)絡(luò)威脅的準(zhǔn)備,各組織就必須開始實(shí)施由內(nèi)而外的安全視圖,同時(shí)要注重網(wǎng)絡(luò)的凈化。
網(wǎng)絡(luò)核心的凈化
傳統(tǒng)上業(yè)界的公司都傾向于基于以下的假設(shè)管理網(wǎng)絡(luò)安全:供應(yīng)商的產(chǎn)品正常運(yùn)行及產(chǎn)品的部署和配置是正確的。
但在驗(yàn)證組織的網(wǎng)絡(luò)防御信息是否準(zhǔn)確以及驗(yàn)證無(wú)間隙或錯(cuò)誤信息方面卻存在欠缺。代理商需要以連續(xù)的方式驗(yàn)證控件,而不是將安全性測(cè)量視為單個(gè)快照。
美國(guó)國(guó)土安全部(DHS)最近通過(guò)推廣持續(xù)診斷和緩解(CDM https://www.dhs.gov/cdm)計(jì)劃也在強(qiáng)調(diào)這方面的工作。 CDM敦促政府機(jī)構(gòu)通過(guò)持續(xù)監(jiān)控達(dá)到實(shí)時(shí)了解自己的安全系統(tǒng)的目的。要拋棄靜態(tài)的滲透測(cè)試或?qū)徲?jì)轉(zhuǎn)用持續(xù)監(jiān)控,因?yàn)槌掷m(xù)監(jiān)控可以在更長(zhǎng)的時(shí)間里更全面地了解系統(tǒng)。如此代理商就可以針對(duì)控制是否可以保護(hù)關(guān)鍵資進(jìn)行量化和驗(yàn)證。而同時(shí),安全領(lǐng)導(dǎo)者和團(tuán)隊(duì)也可以使用更有意義的指標(biāo)來(lái)管理自己的網(wǎng)絡(luò)安全計(jì)劃,可以推動(dòng)決策的制定、優(yōu)化運(yùn)營(yíng)并最終改善自己網(wǎng)絡(luò)的狀況。
“由內(nèi)而外”地看待網(wǎng)絡(luò)安全
盡管諸如CDM等計(jì)劃取得了一些進(jìn)展,但持續(xù)監(jiān)控仍需要解決方案實(shí)施的驗(yàn)證以及有關(guān)的數(shù)據(jù)。因此,私營(yíng)公司和政府機(jī)構(gòu)亟需采取以下“由內(nèi)而外”的網(wǎng)絡(luò)安全方法:
1、確定攻擊生命周期里漏洞的精確點(diǎn)
第一個(gè)漏洞點(diǎn)是組織自己的人員。安全領(lǐng)導(dǎo)者應(yīng)該集中精力幫助自己的團(tuán)隊(duì)了解團(tuán)隊(duì)所需保衛(wèi)的網(wǎng)絡(luò)特定部分里攻擊者的行為。然后就是要通過(guò)測(cè)試事件響應(yīng)過(guò)程而達(dá)到測(cè)試防御的目的。測(cè)試成員是否知道應(yīng)該給誰(shuí)打電話以及如何量化他們所看到的有關(guān)內(nèi)容?他們是否將釣魚郵件轉(zhuǎn)發(fā)給了正確的收件人?安全領(lǐng)導(dǎo)者在了解了團(tuán)隊(duì)如何應(yīng)對(duì)實(shí)踐場(chǎng)景中的威脅后就可以確定要在哪些方面加強(qiáng)防御。
2、權(quán)衡網(wǎng)絡(luò)安全投資的投資回報(bào)率
政府花納稅人的錢時(shí)需謹(jǐn)而慎之,企業(yè)則須確保建立與合作伙伴和客戶的信任。組織必須在考慮網(wǎng)絡(luò)安全投資時(shí)驗(yàn)證預(yù)期的投資回報(bào)率是可行的而不是假定預(yù)期的投資回報(bào)率是可行的,這一點(diǎn)尤為重要。安全領(lǐng)導(dǎo)者需要數(shù)據(jù)才能準(zhǔn)確地顯示安全漏洞位置以及要在何處做更多的投資。
3、要采取基于風(fēng)險(xiǎn)的決策而不是基于合規(guī)性的決策
傳統(tǒng)模型在權(quán)衡網(wǎng)絡(luò)安全有效性時(shí)傾向于采用基于孤立的和基于合規(guī)性的做法,因此網(wǎng)絡(luò)安全措施是在不同的企業(yè)渠道中進(jìn)行管理,而且重要的數(shù)據(jù)未被充分地利用。這也往往會(huì)導(dǎo)致“清單”心態(tài),這可能會(huì)令公司容易受到攻擊。所以要反其道而行之,網(wǎng)絡(luò)安全必須與組織的最大風(fēng)險(xiǎn)和關(guān)鍵任務(wù)業(yè)務(wù)需求保持一致,要確保關(guān)鍵任務(wù)業(yè)務(wù)所用到的產(chǎn)品可以提供全面且可操作的洞察。
4、需確定哪些技術(shù)可以進(jìn)行改進(jìn)、哪些技術(shù)可以從堆棧中刪除
網(wǎng)絡(luò)安全人員需要管理許多產(chǎn)品。重要的一點(diǎn)是,需要驗(yàn)證環(huán)境里哪些產(chǎn)品可以運(yùn)作及哪些產(chǎn)品不能運(yùn)作。適合一家公司的解決方案可能不適合另一家公司。要確定哪些技術(shù)產(chǎn)品可以提供最大的價(jià)值及哪些產(chǎn)品適合當(dāng)前的架構(gòu),如此就不會(huì)購(gòu)買多余的產(chǎn)品。以自動(dòng)方式映射安全控件也可以更輕松地標(biāo)出及列出可識(shí)別的威脅。
知己知彼之知己
用由外而內(nèi)的方式處理安全問(wèn)題時(shí)做的是試圖拒入侵于外部。而由內(nèi)而外的方法則是利用基于風(fēng)險(xiǎn)的策略先確定最重要的應(yīng)用程序達(dá)到保護(hù)關(guān)鍵任務(wù)數(shù)據(jù)的目的,而基于風(fēng)險(xiǎn)的策略則是聚焦于最有價(jià)值和最脆弱的資產(chǎn)。采用由內(nèi)而外的方法應(yīng)對(duì)網(wǎng)絡(luò)安全不是件容易的事。但預(yù)算在不斷飆升——盡管數(shù)據(jù)泄露事件還是不斷發(fā)生,安全領(lǐng)導(dǎo)者必須將安全與問(wèn)責(zé)掛鉤。不管是政府部門還是私營(yíng)部門,歸根結(jié)底都是一個(gè)企業(yè),由內(nèi)而外的方法是最具商業(yè)意義的方法。