本文來自安全牛。
在數(shù)字化轉(zhuǎn)型快速發(fā)展的背景下,企業(yè)傳統(tǒng)的生產(chǎn)體系、業(yè)務(wù)環(huán)境逐漸由封閉轉(zhuǎn)向開放,其業(yè)務(wù)呈現(xiàn)出泛在分布、移動應(yīng)用、云化部署、彈性擴展等趨勢。隨著企業(yè)數(shù)字化發(fā)展需求不斷升級、網(wǎng)絡(luò)接入方式更加多元,以“被動防御”為主要特征的傳統(tǒng)網(wǎng)絡(luò)安全防護模式面臨著巨大挑戰(zhàn),業(yè)界對主動安全防護策略應(yīng)用的期望也不斷增長。
目前,主動安全策略應(yīng)用的主要問題是誤報率高、實施難度大、可管理性差,導(dǎo)致主動安全技術(shù)需求旺盛,但真正成功應(yīng)用的項目還很有限。盡管被動安全任務(wù)的需求會長期存在,但企業(yè)應(yīng)該從現(xiàn)在開始積極嘗試采取更積極的措施,實現(xiàn)更智能、更主動的安全防護策略,從而更好地保護組織的數(shù)字資產(chǎn)。研究人員認為,企業(yè)在應(yīng)用主動安全防護策略時,應(yīng)該重點關(guān)注是否具備以下8個前提條件。
01
做好資產(chǎn)梳理和發(fā)現(xiàn)
為了制定積極主動的網(wǎng)絡(luò)安全策略,CISO需要先了解自己有什么資產(chǎn),知道什么需要最高級別的保護,并認識到組織愿意接受的風(fēng)險。這可幫助CISO確定哪些威脅對組織構(gòu)成最大的風(fēng)險,因此需要給予最大的關(guān)注。
積極主動的網(wǎng)絡(luò)團隊了解本組織的風(fēng)險狀況,能識別組織尚未面臨的風(fēng)險。這是能夠防止攻擊發(fā)生的一個關(guān)鍵因素,因為他們知道需要保護什么對象,能全面考慮到所有薄弱環(huán)節(jié)。
CISO需要長期做好這項工作,需要持續(xù)識別風(fēng)險,并深入了解貴組織的攻擊面。
02
擁有強大的身份安全措施
研究人員認為,積極主動的安全團隊不僅需要深入了解其IT環(huán)境和組織的風(fēng)險狀況,還需要具有強大的身份安全管控措施,可以清晰了解對哪些用戶、哪些設(shè)備正在訪問其網(wǎng)絡(luò)及相關(guān)業(yè)務(wù)系統(tǒng)。多因素身份驗證等策略有助于確保只有授權(quán)用戶才能訪問企業(yè)IT環(huán)境,阻止非法用戶的侵入。
有許多CISO已經(jīng)在落實嚴格的身份驗證要求,這也是他們向零信任架構(gòu)轉(zhuǎn)變的一部分。在這種架構(gòu)中,所有用戶(包括人和設(shè)備)在獲得訪問權(quán)之前必須驗證自己的身份。零信任還更進一步:它另外限制已驗證身份的用戶只能訪問他們工作所需的那些系統(tǒng)和數(shù)據(jù)。遵循這種最小權(quán)限原則將是安全團隊由被動響應(yīng)事件轉(zhuǎn)向主動安全防御的一個標志。
03
提升快速應(yīng)變能力
讓防御措施啟動在黑客發(fā)起攻擊前的另一個關(guān)鍵是,安全團隊應(yīng)具有比攻擊者更快速的應(yīng)變能力。為此,積極主動的安全團隊需要采用以攻擊為中心的思維,避免那些按部就班的公式化安全能力建設(shè),不斷完善實戰(zhàn)化安全能力構(gòu)建,學(xué)會從攻擊者的角度思考問題。網(wǎng)絡(luò)攻擊沒有標準模式,因此可靠的主動防御能力也是需要隨機應(yīng)變的,才可以應(yīng)對層出不窮的威脅。
04
持續(xù)性的安全監(jiān)測
積極主動的安全策略需要對信息化運營的各種關(guān)鍵參數(shù)進行持續(xù)性的監(jiān)測,及時發(fā)現(xiàn)可疑的行為和活動。安全團隊可以使用SaaS化的安全工具,或與托管安全服務(wù)商共同完成系統(tǒng)運營監(jiān)測工作。這種監(jiān)測可以讓安全團隊及早留意各種威脅:黑客企圖利用被欺騙的網(wǎng)站、被劫持的公司商標及其他形式的社會工程攻擊,從而使安全團隊有時間采取對策,最大程度遏制這些攻擊企圖。
05
主動搜尋威脅
積極主動地搜尋威脅是主動安全策略落地的一個重要因素。對安全風(fēng)險的識別滯后一直是行業(yè)老大難問題,為了解決這個問題,企業(yè)安全團隊需要轉(zhuǎn)向主動搜尋威脅,在數(shù)據(jù)泄密或勒索攻擊發(fā)生之前找到潛伏在其IT環(huán)境中的惡意程序或攻擊線索,這可以從技術(shù)角度(攻擊途徑)和漏洞利用者(黑客)這兩方面來結(jié)合推斷。
據(jù)SANS 2022年威脅搜尋調(diào)查顯示,85%的受訪企業(yè)表示,威脅搜尋改善了本組織的安全狀況。與此同時,專家們表示,使用機器學(xué)習(xí)和人工智可以幫助企業(yè)安全團隊更快速地發(fā)現(xiàn)威脅,這個比例有望進一步提高。安全專業(yè)人員可得益于機器學(xué)習(xí)識別模式和預(yù)測結(jié)果的能力,這種技術(shù)提供了前所未有的可見性。這讓網(wǎng)絡(luò)團隊可以迅速擴大規(guī)模,盡早識別威脅,并比以往更快地對付攻擊。
06
高效的漏洞管理計劃
高效的漏洞管理計劃可以識別組織中存在哪些已知漏洞,并優(yōu)先修補風(fēng)險最高的漏洞,這是形成良好安全策略的重要標志。為了保障主動安全策略的施行,安全團隊應(yīng)更進一步,為漏洞管理計劃添加漏洞搜尋功能。漏洞管理計劃主要專注于解決已發(fā)現(xiàn)的問題,而漏洞搜尋則要求安全團隊主動發(fā)現(xiàn)未知的安全隱患,比如不安全的軟件代碼或其IT系統(tǒng)種的錯誤配置。安全專家建議,CISO應(yīng)定期進行滲透測試,以找出存在的安全薄弱環(huán)節(jié),并制定漏洞披露和懸賞計劃,以鼓勵和獎勵員工主動搜尋、發(fā)現(xiàn)和修復(fù)相關(guān)的漏洞問題。
07
實戰(zhàn)化的攻防演練
積極主動的安全團隊會定期開展實戰(zhàn)化的攻防演練,評估攻擊得逞后己方如何響應(yīng)和應(yīng)對,這種演練也可以采用沙盤演練的方式。由于演練會設(shè)想并驗證攻擊會如何發(fā)生,它們可以幫助安全團隊識別現(xiàn)有安全計劃的不足。然后,組織可以有針對性的縮小差距,阻止設(shè)想種的事件場景發(fā)生。攻防演練還有助于發(fā)現(xiàn)事件響應(yīng)方案存在的不足,幫助安全團隊彌補這些不足。這種演練還可以為團隊成員建立“肌肉記憶”,一旦類似事件發(fā)生,組織可以更迅速、更高效地行動,從而將破壞降到最低。
08
防患于未然
高瞻遠矚、洞察未來很重要。積極主動的安全策略應(yīng)該著眼于發(fā)現(xiàn)并掌握應(yīng)用新興的安全技術(shù)、產(chǎn)品和標準;此外,應(yīng)根據(jù)企業(yè)實際需求,盡快將這些新方法融入到企業(yè)安全戰(zhàn)略和實施計劃中。這樣可以讓安全部門在新威脅變化出現(xiàn)之前做好準備。比如說,很多企業(yè)已經(jīng)在考慮量子計算會如何影響他們的安全計劃,確定哪些當前的安全措施會失去成效,并確定新的保護措施。積極主動的安全團隊現(xiàn)在應(yīng)考慮所有這些問題,他們要為多年后的威脅場景提前制定路線圖。