相信大家都拥有切身体会:数据安全行业在过去三十年当中一直处于疯狂发展阶段。从二十世纪九十年代到二十一世纪之初,我们先后经历了“证明自我型攻击”、出于经济利益的攻击以及针对政府、企业以及公共基础设施的危险民族性黑客攻击。
随着这些威胁因素的持续演变,企业安全需求也随之增长。我们目前掌握的各类新型技术——从反病毒到防火墙、再到数据丢失防护与日志管理,以及多年以来出现的下一代SIEM(即安全信息与事件管理)与威胁情报方案——都希望能够解决我们所面临的网络安全困境。
由安全记者Sean Michael Kerner、Robert Lemos、Ryan Naraine、Wayne Rash和同事们共同建立的eWEEK网站在过去几年当中,一直精心记录着各类安全方法的兴起与衰落。其中包括最基本的客户端-服务器方案、以网络为中心型方案、以服务器为中心型方案、以云为中心型方案、以文件为中心型方案甚至是以数据块为中心型安全保护手段。
虽然经历了一系列变化,但仍有一些基础性安全建议成功经受住了时间的考验。以下为安全软件与服务供应商Optiv Security公司基础设施安全专家Brian Wrozek总结出的五大历久弥新的安全原则。
“砸钱解决问题”的思路并不能奏效:
多年以来,企业一直以被动方式同各类先进恶意软件与高水平网络犯罪分子进行斗争。在这种模式之下,企业必须面对新的安全挑战并满足各类法规要求,包括购买新型技术方案、雇用更多人手乃至合作伙伴对这些方案进行管理。这种方法实际上反而给企业带来了新的危机——因为安全团队根本弄不清自己到底拥有哪些资产,且基础设施极为臃肿而难以管理。
这种战略不仅造成巨大的资金浪费,同时也导致IT基础设施各类不协调解决方案点的混乱集合。在大多数情况下,这会令企业引以为傲的安全体系存在诸多不为人知的“裂缝”,并允许网络犯罪分子乘虚而入。事实上,更高的预算支出并不一定能够有效减少安全事故。
因此,企业必须重新审视自身的安全支出处理方法。在每次购买新产品之前,企业必须认真考量自身对于最佳技术的需求并意识到各类产品、服务以及系统的集成性对于整体安全基础设施的重要意义。为了应对当今高水平的网络犯罪分子,企业还必须将自身安全基础设施与运营思路由被动、笨拙以及以产品为中心的模式转化为有计划、可预测并以优化及编排为中心的新模式。
人是安全体系中最薄弱的环节:
安全布道者们多年来一直在警告各类组织机构警惕内部威胁带来的风险。部分恶意雇员及其他内部人士会想办法窃取业务数据、以未授权方式访问机密系统与服务,并运行恶意软件以危害企业的正常运营。当然,偶尔也会出现其它一些意外状况,例如员工错误将机密数据存储在云端。尽管后一种情况并不存在恶劣意图,但同样可能带来严重的破坏性后果。
时至今日,又有第三种因素加剧着这种内部威胁问题:网络安全技能的长期短缺使得企业很难聘用充足的人力资源来管理日趋复杂的安全基础设施。由此造成的结果就是,IT安全团队因为沉重的日常运营压力而疲于奔命,并最终导致防御体系当中出现空白。也正因为如此,才会出现大量并非源自高复杂度网络攻击、而仅是由简单人为错误所引发的数据泄露事故:错误配置、未安装修复补丁的系统以及其它基本安全因素的缺失正成为最严重的风险来源之一。
企业需要的不是“更多”,而是需要“正确”——即正确的策略、正确的基础设施与正确的政策及流程。对网络安全方案组合进行优化是简化安全性保障、降低管理难度以及控制成本支出的良好起点。这类措施能够减轻安全专业人士的负担,并确保其能够将精力集中在提供更高保护效能以及捍卫更具业务价值的高层级任务身上。
员工亦是企业的第一道安全防线:
尽管员工们确实有可能构成严重的安全风险,但他们同时也可以成为企业对抗网络犯罪分子时的第一道防线。而要确保员工们为此做好充分准备,首先应当在企业内部建立强大的网络安全文化,同时以鼓励及奖励等方式培养员工们的安全意识与在线安全习惯。
如果员工们能够理解自身在保护企业网络与数据方面所扮演的角色,他们才会更主动地承担相关责任并遵守企业政策。正因为如此,在企业内部推动教育与培训计划才极为重要——这些教育与培训计划将教导员工了解更多网络犯罪分子采取的攻击手段与策略(例如勒索软件与网络钓鱼),并帮助他们掌握在发现威胁时应选择的正确应对举措。
与此同时,向员工们清晰地解释应如何管理其在线活动,同时确切定义可接受及不可接受的企业网络、软件与设备访问方式也极为重要。为了促进良好的安全网络活动习惯并提升员工的敬业水平,企业应考虑实施表扬与奖励计划,并举办各类月度竞赛或游戏化项目。
在安全意识层面,通过培训建立明确的安全政策并发展出强大的网络安全文化需要投入可观的时间与精力,但由此带来的最终成果也将给企业提供理想的投资回报。
补丁修复,成就完美:
在下一代网络安全工具时代下,补丁修复看似已经成为一项微不足道的任务,但其却仍然是强大网络安全计划当中极为重要的组成部分——Meltdown与Spectre等安全漏洞的泛滥已经再次向我们强调了这一基本事实。要解决Meltdown/Spectre漏洞等问题,我们可能需要投入远高于以往常规漏洞补救措施的资源与关注度。
这主要是由于上述新型安全漏洞涉及可观的补丁数量、为正确系统安装正确补丁变得更加复杂,且管理人员需要切实理解相关补丁可能给受影响系统及应用程序的性能与稳定性造成的实际影响(需要通过测试确定)。由于企业无法更新部分陈旧设备,而其修复难度往往较新型系统更高,因此补丁管理问题可能将因此而更为困难。
在这个安全产品日新月异的时代下,企业必须将重点放在安全基础知识层面,高度重视基础安全技术与流程(例如补丁修复)的优先级水平,从而在最大限度降低安全风险的同时,维持保护能力并克服当前严重的混乱状态。
安全属于业务问题:
CIO与CISO们一直很难与企业中的高层管理者真正“欢聚一堂”。其中的一大主要原因,在于他们很难甚至根本无法以对方能够理解的方式向高层管理人员及董事会成员表达自身业务情况。他们无法将安全支出与企业的总体风险状况加以关联。正因为如此,企业的战略决策往往会在缺少安全信息的情况下进行,并直接导致CIO与CISO们遭遇隐性“降级”,最终难以主动保障业务的安全运营。
虽然这个问题多年来一直存在,但其仍然是众多企业尚不成熟的核心标志之一。安全管理人员必须实施量化与关键性成效指标制度,从而以真正可理解且具备实际意义的方式报告安全运营情况。安全高管需要通过与其它业务部门协调一致的方式对安全运营工作进行预算规划与评估,这将有助于安全管理人员在商业战略及规划当中发挥更加突出的作用,同时确保企业能够准确地将安全投资与风险状况联系起来。
此外,能够以业务语言表达自身观点的能力也将成为安全管理人员在企业高管层当中真正获得一席之地的关键性前提。
本文翻译自eWeek
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。