大多數(shù)公司都沒有正確評估計算機(jī)的安全風(fēng)險，最終導(dǎo)致了安全控制與其最大風(fēng)險的不一致。這里有我的以數(shù)據(jù)驅(qū)動計算機(jī)安全防御為主題的書籍。許多安全專家都知道這一點，這就是為什么在我多次談?wù)擄L(fēng)險管理之后，我仍然會被問及要從SANS的前20大關(guān)鍵控制清單中實施哪些控制。

      據(jù)我所知，最嚴(yán)肅的計算機(jī)安全專業(yè)人士都期待著SANS Top 20的每一次更新以及隨之而來的推送。它包含了非常好的計算機(jī)安全防御建議，但是和任何行動清單一樣，你不可能一次性完美地完成幾件事情。下面是關(guān)于首先要執(zhí)行哪些控制的建議，但首先讓我先來提供一些SANS清單的歷史。

      現(xiàn)在是CIS控制

      SANS幾年前將Top 20清單交給了互聯(lián)網(wǎng)安全中心(CIS)，現(xiàn)在它被稱為了CIS關(guān)鍵安全控制。CIS是另一個備受尊敬的非營利計算機(jī)安全組織，已有幾十年的歷史。他們最出名的可能是其發(fā)布的操作系統(tǒng)最佳實踐安全建議和基準(zhǔn)。如果你想要一個獨立的、非政府的實體對微軟Windows系統(tǒng)的安全性提出建議，那么CIS就是您的選擇。

     SANS清單始于Tony Sager

     如果你知道它的歷史，那么CIS獲得SANS的Top 20清單就不會令人驚訝了。該清單是從CIS高級副總裁兼首席福音傳道者Tony Sager開始的。Tony最有名的可能就是他的迷霧重重系列講座，他認(rèn)為信息過載是阻礙更好的計算機(jī)安全的主要問題之一。

     Tony是一個聰明、有思想的人，他在國家安全局工作了34年，一直致力于提高計算機(jī)安全。大多數(shù)人只認(rèn)為國家安全局就是間諜的代名詞，但他們也有責(zé)任通過幫助我們建立和實施更好的防御來保護(hù)我們的國家。為了最后一個目標(biāo)，Tony就是主要人物之一。他領(lǐng)導(dǎo)了國家安全局首批的“藍(lán)隊”之一，并最終成為了國家安全局漏洞分析和操作項目的首席領(lǐng)導(dǎo)。

      “我可能是少數(shù)幾個可以說自己的整個職業(yè)生涯都是在國安局的國防部門度過的人之一，”Tony告訴我?！拔冶热魏稳硕几私庀到y(tǒng)是如何失敗的。我能夠從一個國家入侵另一個國家所做的事情中，了解他們是如何做到的，以及為什么沒有能夠阻止他們，從這兩個角度可以看到什么在保護(hù)計算機(jī)方面起了作用，什么沒有起作用?！?

      Tony說，最初的清單來自他和其他的幾個人，有一天他們被困在一個房間里，試圖一起找出一個小清單?！拔覀儾幌胍环菽芙鉀Q世界上所有問題的清單?！彼麄兿胩暨x一些他們都同意的項目，作為他們對任何想要保護(hù)自己電腦和網(wǎng)絡(luò)的人的最佳建議。一天結(jié)束時，他們拿出了一份簡短的清單，最終發(fā)展成了十個控制。他們對其進(jìn)行了同行評審，Tony最終將他的清單發(fā)送給了五角大樓，用他的話說是，“作為一種友好的姿態(tài)”。

     他驚訝地看到他的清單最終脫穎而出了，并贏得了信任。由于SANS與政府的密切合作關(guān)系，Tony認(rèn)識SANS的Allen Paller，他打電話問SANS能否接受這份清單，教授它，并推廣它。Tony很激動。天哪，SANS拿到了它，帶著它走了。這些年來，Top 10變成了Top 20。它成為了嚴(yán)肅的計算機(jī)安全專業(yè)人員用來保護(hù)他們環(huán)境的清單。

     最終，SANS和Tony認(rèn)為，對于這份已經(jīng)成為事實上的全球性安全指南的標(biāo)準(zhǔn)來說，正確的做法是將其轉(zhuǎn)交給非營利組織。所以，它從國家安全局到了五角大樓，又從國家安全局來到了CIS。所以，幾十年后，Tony的清單有了一個組織，Tony也參與其中以確保安全。

      這是Top 20控制的簡要歷史，現(xiàn)在讓我們回到您應(yīng)該首先實現(xiàn)的控制上來。

      CIS Top 20控制中的前五項

      CIS的Top 20安全控制都應(yīng)該被實現(xiàn)。沒有一個是不應(yīng)該盡快考慮和實施的。它們確實是每個計算機(jī)安全程序都應(yīng)該擁有的最低限度。話雖如此，你也必須從某個最初的地方開始。

       以下是我的Top 5清單：

    ?實施安全意識和培訓(xùn)計劃

    ?持續(xù)的漏洞管理

    ?控制管理權(quán)限的使用

    ?審核日志的維護(hù)、監(jiān)控和分析

    ?事件響應(yīng)和管理

       實施安全意識和培訓(xùn)計劃

       根據(jù)Verizon的2019年數(shù)據(jù)泄露調(diào)查報告，高達(dá)90%的惡意數(shù)據(jù)泄露是由網(wǎng)絡(luò)釣魚和社會學(xué)工程造成的。僅此一點就使得第一條控制變得形同虛設(shè)了。與許多攻擊類型一樣，您可以使用技術(shù)控制(例如，防火墻、反惡意軟件、反垃圾郵件、反網(wǎng)絡(luò)釣魚、內(nèi)容過濾)和培訓(xùn)相結(jié)合的方式來進(jìn)行防御。

無論您使用什么樣的技術(shù)控制，一些網(wǎng)絡(luò)釣魚最終都會傳遞給最終用戶。這就是為什么你要教所有的用戶如何識別惡意，以及當(dāng)他們看到惡意時應(yīng)該怎么做的原因。如何進(jìn)行安全意識培訓(xùn)由您自己決定，但教育應(yīng)該一年進(jìn)行多次，每季度都必須有一次以上。低頻率的培訓(xùn)無助于降低風(fēng)險。

       持續(xù)的漏洞管理

       未打補丁的軟件在所有成功的數(shù)據(jù)泄露事件中占到了20%到40%，這使它成為了組織成功被入侵的第二大常見原因。漏洞管理絕對應(yīng)該是你的第二個優(yōu)先事項。這不僅意味著需要掃描環(huán)境中的漏洞和缺失補丁，還要盡可能地自動化修補程序。

       需要修補什么?在去年公布的16555個單獨的漏洞中，只有不到2%的漏洞被用于危害某個組織。幾乎所有這些人都利用了無人管理的代碼，這是軟件漏洞是否會被用來攻擊組織的最佳預(yù)測。如果公共領(lǐng)域中沒有列出一個漏洞，就可以降低其重要性。

       其次，我們都知道受攻擊最嚴(yán)重的客戶端漏洞是瀏覽器和瀏覽器加載項，其次是操作系統(tǒng)漏洞。在服務(wù)器端，漏洞主要與網(wǎng)絡(luò)服務(wù)器軟件、數(shù)據(jù)庫和服務(wù)器管理有關(guān)。是的，其他類型的軟件也可能會受到攻擊，但以上這些類別是迄今為止最容易受到攻擊的類型。從積極修補這些類型的軟件程序開始，您的計算機(jī)安全風(fēng)險將大幅下降。

      控制管理權(quán)限的使用

      最大限度地減少管理帳戶的數(shù)量并使用高安全性來保護(hù)管理帳戶是明智之舉。大多數(shù)試圖闖入你的環(huán)境的不良行為會在最初的利用后把提升賬戶權(quán)限作為第一要務(wù)，這樣他們就可以造成最大的損害。對于攻擊者來說，你沒有和不經(jīng)常使用的每個管理帳戶都是一個目標(biāo)。

      ?減少任何高權(quán)限組的成員數(shù)量

      ?要求所有升級的賬戶使用多因素身份驗證登錄

      ?要求檢查提高權(quán)限的憑證

      ?提權(quán)時間的限制

      ?大量記錄此類使用和登錄

      想阻止對您的計算機(jī)和網(wǎng)絡(luò)的最嚴(yán)重的惡意濫用嗎?請阻止壞人獲得管理員權(quán)限。

      審計日志的維護(hù)、監(jiān)控和分析

      Verizon的數(shù)據(jù)泄露調(diào)查報告得出結(jié)論，大多數(shù)安全日志中都存在惡意入侵的證據(jù)，如果組織能夠分析他們的日志，由此造成的損害就可能會最小化。我明白，收集和分析日志并不容易。它需要收集數(shù)以億計的事件，其中的大多數(shù)并沒有表現(xiàn)出惡意，這是在大海撈針。

     這就是為什么您需要一個頂級的事件記錄系統(tǒng)來為您聚合和分析日志。一個好的安全信息事件管理(SIEM)系統(tǒng)應(yīng)該可以為你做好所有的艱苦工作。您所需要做的就是響應(yīng)指示的可疑事件，并修改和訓(xùn)練系統(tǒng)，以最大限度地減少誤報和漏報。

      事件響應(yīng)和管理

      無論你做什么，都會有人通過你的防御。從來沒有完美的防守，所以要盡你所能做好失敗的計劃。這意味著需要開發(fā)有效的事件響應(yīng)人員、工具和流程。事件響應(yīng)的調(diào)查和補救越好、越快，對環(huán)境造成的損害就會越小。

     對于您應(yīng)該實現(xiàn)的Top 5安全控制(如電子郵件和瀏覽器控件)，還有許多其他強有力的競爭者，但這些才是我會放在任何人的安全控制清單最前面的。一些控制并不像許多人所想的那么有幫助，比如網(wǎng)絡(luò)訪問控制和密碼策略。人們花在這兩個控制上的每一分鐘都不如花在更大問題上的時間。

     最后一點：最常見的root漏洞利用(社會工程和未修補軟件)是自計算機(jī)發(fā)明以來最常見的攻擊類型。我們需要做的用來對抗他們的事情也沒有太大的改變。我們只需要把注意力集中在少數(shù)玩家身上，并減少他們的影響。