10步改善企業的分層防御策略
在安全社區,或者廣義上講當代人類信息社會中,一直存在一個問題。問題就是:我們一直將安全看作是一種技術、策略、隱私,或者人力問題,而不是一個綜合集成的組合。無論如何,盡管我們制定了諸多的標準、法律,創造了最佳范例,嘗過了經驗教訓,也產生了新技術,我們卻一直在踐行深度防御上走在了錯誤的道路上。
我們仍然將安全視為IT問題,依然把風險和合規當成日常文書工作。我們的整個組織中缺乏真正的安全氛圍。我們仍舊認為有入侵檢測系統(IDS)、安全信息和事件管理(SIEM)和反病毒軟件就夠了。我們還覺得審計、合規和運營中心分層的服務臺方法就是深度防御的全部,尤其這些工作都處于一種各自為政的企業文化下。
如果我們真心想改善今天的安全狀況,就要采取措施改變人們看待、定義和處理這些安全問題的態度和方法。下面的十種方法,可以幫助改善我們的分層防御策略:
1. 設立首席安全風險官(CSRO)職位
應當設立CSRO職位,作為公司負責所有安全和風險事務的獨立首腦,直接向CEO、董事會和政務官員等匯報。
涉及內容可能包括突發事件、人身安全和物理安全問題、隱私問題,以及網絡安全問題。傳統的首席信息安全官(CISO)、首席安全官(CSO)、副首席信息官(deputy CIO)或安全總監在當前態勢下已經不能發揮效用。這一角色不應歸為首席財務官(CFO)、首席運營官(COO)、首席信息官(CIO)和首席技術官(CTO)的下屬,但可以代替CISO、CSO和首席風險官(CRO)之類的角色。
2. 組建CSRO團隊
我們應當組建一支在首席安全風險官(CSRO)及其副手領導下的權威的跨職能團隊,作為公司所有安全和風險問題決策、響應協調、問責、領導和策略實施的唯一權威機構。
這一團隊至少每周要有一次例會,還得有細致恰當的章程確保每名團隊成員都對團隊有投票權,并且獲得組織內部最高層的書面授權。團隊應當也必須包含至少下列類型的主題專家(SME)成員:
高級IT安全SMEs
高級法律顧問代表
高級隱私官
高級人力資源代表。
高級審計和財務代表(來自組織內部的CFO/COO部門)
高級物理安全和人身安全經理/SME
高級項目經理和運營管理代表
高級技術工程師
合適的業務領域/數據/信息/系統業主(根據需要)
關鍵外部合伙人、供應商和客戶利益相關者(根據需要)
3. 采用積極防御戰略
總體戰略中必須包含以積極防御的形式呈現的攻擊性元素。這不是說需要直接攻擊那些假想敵。不過,確實需要蜜罐、無惡意的木馬和其他方法去研究攻擊者,獲取可信的特征,增加威懾力或使敵對方的努力化為泡影也是可行且應該采用的方法。此外,直接攻擊應該留給現實世界中有既有管轄權的家伙們干,比如軍隊、情報機構和執法部門。
4. 實施深度防御
開放系統互連(OSI)模型的全部層級,加上人員層,都必須納入組織的深度防御方法中來。
比如,網絡級入侵檢測系統(IDS)和入侵防御系統(IPS)、網頁內容過濾、網站應用防火墻、惡意軟件分析工具、漏洞分析工具、帶數據泄露防護(DLP)的主機級IPS、電子取證工具、閑時加解密,以及傳輸工具、巡回工具、SIEM和機器數據挖掘工具等,從應用層防護直到物理層防護都應該裝上。手機應用和數據安全,帶服務等級協議(SLA)的云安全和無線保護也應該包括進來。
5. 及時調整
通過每日、每周、每月的調整提升安全基準是必要的。在經常使用的基礎上學習輕量級目錄訪問協議(LDAP)、簡單網絡管理協議(SNMP)、域名服務系統(DNS)、超文本傳輸協議(HTTP)和其他你網絡中出現的流量。觀察管理員帳戶行為,知曉你的訪問控制實踐,而不僅僅是寫在紙上的章程。另外,為需要或要求各種不同類型軟件的業務單位建立起一套請求流程和變動控制程序。
保證安全測試、評估和分析,檢測與鎖定部署在組織內部資產上的主機鏡像以預防用戶安裝未經授權的軟件。鎖定特定組織里非正常行為遠比對著長長的信息技術基礎設施庫(ITIL)故障清單去處理儀表板上彈出的一個個IDS/IPS和SIEM警告要簡單得多。
事實上,全部資源投入到研究組織內部的動態行為上遠比浪費在追逐警告和產生故障清單數據要好得多。
6. 用好白名單和黑名單
這需要定好基準底線,但同樣需要主動的全球惡意軟件分析。應該從其他很多組織的事后報告中研究攻擊指示器、威脅情報和事件,而不僅僅局限于你所在的組織。然后,將研究成果應用于組織中不斷發展的安全基準中。
7. 建立漏洞管理和補丁管理程序
將網絡的所有部分——所有硬件、軟件和用戶組,打散嵌入到每日、每周、每兩周或每月一次的任務計劃表中。這樣一來,所有部分至少每90天就能被掃描一遍,給最新的漏洞打上補丁。
為每個部分建立一張聯系人列表,負責解決已發現的漏洞和失效的補丁。這樣至少可以創建一個將測試和彌補漏洞當成常態的合作氛圍,而不僅僅是合規操作或審計等等。
8. 建立協同工作環境
將在辦公室里充分利用在線和虛擬滲透測試、惡意軟件分析和取證工具、網站、實驗室等當成常態,而不是例外情況。為你的團隊建立一套每周在不同領域交叉培訓的機制。
打造一支組織團隊參與全球性的攻防競賽和組織內部的類似競賽。建立內部百科和培訓課程,讓弟兄們可以每周或者每月互相學習。
這樣就能在預算不足以支持飛去參加各大會議和常規培訓的時候也能讓你的現有員工繼續成長了。最好的團隊是成員間相互合作且能交叉培訓共同成長的團隊。這對團隊散布各地且各部門間職能分散的大型組織而言尤其重要。讓協同合作的文化成為常態,而不僅僅是一個小插曲。
9. 留出成長和成功的機會
領導經驗、培訓和首要與次要職責之間的位置轉換對個人而言通常很重要,而且長期來看公司也是穩賺不賠的。這一條實施起來與上面第8條類似,不過這一次,交叉訓練要在非技術人員間展開。這將進一步使你的技術人員和非技術人員在其他首要與次要職責領域進行交叉培訓以獲取新的技能,進一步建立一種相互尊重、交叉提高和經常性交流的協同合作氛圍。
10. 保持警醒
最后,即使你覺得萬事ok,至少應該每年兩次雇外人實際地或者通過網絡對你的組織進行評估、滲透和審計。這樣你的組織才會從門衛到高層都保持警醒。
