著名的軍事家和哲學家孫子曰:“知彼知己者����,百戰(zhàn)不殆�?!眱汕昵暗倪@句名言放在時下網(wǎng)絡安全格局里是再恰當不過的了����。私營部門和公共部門的安全領導者往往會忽略一些自己已經擁有的網(wǎng)絡防御能力的基本問題。就網(wǎng)絡安全領域而言���,這可以歸結為以下的問題:“我是否知道我的內部控件在以應有的工作方式運作?我們的網(wǎng)絡狀況是否安全?”
了解內部弱點和漏洞在時下尤其重要���。公司處于非活動期間時(例如美國最近的政府停擺時),一些組織特別容易發(fā)生數(shù)據(jù)泄露���。安全證書可能在非活動期間到期了,代理在此期間更虛弱更容易受到各種威脅的攻擊��。而且由于需要處理大量的積壓工作���,安全團隊也無暇處理基本的安全任務�����。
要真正做好應對網(wǎng)絡威脅的準備�,各組織就必須開始實施由內而外的安全視圖�����,同時要注重網(wǎng)絡的凈化。
網(wǎng)絡核心的凈化
傳統(tǒng)上業(yè)界的公司都傾向于基于以下的假設管理網(wǎng)絡安全:供應商的產品正常運行及產品的部署和配置是正確的���。
但在驗證組織的網(wǎng)絡防御信息是否準確以及驗證無間隙或錯誤信息方面卻存在欠缺���。代理商需要以連續(xù)的方式驗證控件,而不是將安全性測量視為單個快照����。
美國國土安全部(DHS)最近通過推廣持續(xù)診斷和緩解(CDM https://www.dhs.gov/cdm)計劃也在強調這方面的工作。 CDM敦促政府機構通過持續(xù)監(jiān)控達到實時了解自己的安全系統(tǒng)的目的��。要拋棄靜態(tài)的滲透測試或審計轉用持續(xù)監(jiān)控�,因為持續(xù)監(jiān)控可以在更長的時間里更全面地了解系統(tǒng)。如此代理商就可以針對控制是否可以保護關鍵資進行量化和驗證�����。而同時����,安全領導者和團隊也可以使用更有意義的指標來管理自己的網(wǎng)絡安全計劃,可以推動決策的制定��、優(yōu)化運營并最終改善自己網(wǎng)絡的狀況。
“由內而外”地看待網(wǎng)絡安全
盡管諸如CDM等計劃取得了一些進展�,但持續(xù)監(jiān)控仍需要解決方案實施的驗證以及有關的數(shù)據(jù)。因此��,私營公司和政府機構亟需采取以下“由內而外”的網(wǎng)絡安全方法:
1���、確定攻擊生命周期里漏洞的精確點
第一個漏洞點是組織自己的人員�。安全領導者應該集中精力幫助自己的團隊了解團隊所需保衛(wèi)的網(wǎng)絡特定部分里攻擊者的行為����。然后就是要通過測試事件響應過程而達到測試防御的目的。測試成員是否知道應該給誰打電話以及如何量化他們所看到的有關內容?他們是否將釣魚郵件轉發(fā)給了正確的收件人?安全領導者在了解了團隊如何應對實踐場景中的威脅后就可以確定要在哪些方面加強防御����。
2、權衡網(wǎng)絡安全投資的投資回報率
政府花納稅人的錢時需謹而慎之���,企業(yè)則須確保建立與合作伙伴和客戶的信任。組織必須在考慮網(wǎng)絡安全投資時驗證預期的投資回報率是可行的而不是假定預期的投資回報率是可行的����,這一點尤為重要。安全領導者需要數(shù)據(jù)才能準確地顯示安全漏洞位置以及要在何處做更多的投資���。
3���、要采取基于風險的決策而不是基于合規(guī)性的決策
傳統(tǒng)模型在權衡網(wǎng)絡安全有效性時傾向于采用基于孤立的和基于合規(guī)性的做法���,因此網(wǎng)絡安全措施是在不同的企業(yè)渠道中進行管理,而且重要的數(shù)據(jù)未被充分地利用�。這也往往會導致“清單”心態(tài),這可能會令公司容易受到攻擊���。所以要反其道而行之�,網(wǎng)絡安全必須與組織的最大風險和關鍵任務業(yè)務需求保持一致����,要確保關鍵任務業(yè)務所用到的產品可以提供全面且可操作的洞察。
4���、需確定哪些技術可以進行改進�、哪些技術可以從堆棧中刪除
網(wǎng)絡安全人員需要管理許多產品���。重要的一點是��,需要驗證環(huán)境里哪些產品可以運作及哪些產品不能運作����。適合一家公司的解決方案可能不適合另一家公司。要確定哪些技術產品可以提供最大的價值及哪些產品適合當前的架構����,如此就不會購買多余的產品。以自動方式映射安全控件也可以更輕松地標出及列出可識別的威脅��。
知己知彼之知己
用由外而內的方式處理安全問題時做的是試圖拒入侵于外部�����。而由內而外的方法則是利用基于風險的策略先確定最重要的應用程序達到保護關鍵任務數(shù)據(jù)的目的����,而基于風險的策略則是聚焦于最有價值和最脆弱的資產。采用由內而外的方法應對網(wǎng)絡安全不是件容易的事���。但預算在不斷飆升——盡管數(shù)據(jù)泄露事件還是不斷發(fā)生�����,安全領導者必須將安全與問責掛鉤。不管是政府部門還是私營部門����,歸根結底都是一個企業(yè)��,由內而外的方法是最具商業(yè)意義的方法��。
