經(jīng)受住時間考驗的五大安全理念
雖然在過去幾十年間,關于軟件和硬件的安全建議一直在迭代更新,但是仍然存在一些基本的安全建議經(jīng)受住了時間的考驗,始終起著與其在20世界80年代同等重要的作用。
我們大家都有目共睹的一點是:數(shù)據(jù)安全行業(yè)在過去三十年間一直處于快速發(fā)展的狀態(tài)之中,從最初出于“炫耀目的而進行的攻擊”(20世紀90年代和21世紀初)發(fā)展到后來出于“金錢目的”和“黑客破壞主義”的攻擊行為,再到當前破壞力更強的針對政府、企業(yè)和公共基礎設施的民族國家黑客運動。
伴隨著這些威脅的升級演變,企業(yè)的安全需求也開始隨之增長。我們目睹了許多新技術的涌現(xiàn)——從防病毒軟件和防火墻到數(shù)據(jù)丟失防護和日志管理,再到下一代SIEM(安全信息和事件管理)和威脅情報,所有這些新技術都有望幫助我們解決當前的網(wǎng)絡安全困境。
過去幾年中,我們經(jīng)歷過基礎的客戶端-服務器方案,以網(wǎng)絡為中心、以服務器為中心、以工作負載為中心、以云為中心、以文件為中心,甚至開始以區(qū)塊為中心的各種安全建議的興起和衰落。
然而,在這眾多出現(xiàn)又消失的建議之中,我們發(fā)現(xiàn)了一些基本的安全理念經(jīng)受住了時間的考驗。以下是了五個成功經(jīng)受住時間考驗的安全認知或理念:
一、錢不是萬能的
多年來,企業(yè)一直以被動的姿勢與先進的惡意軟件和網(wǎng)絡犯罪分子作斗爭,與此同時,新的安全挑戰(zhàn)和監(jiān)管要求也同樣處于被動的響應狀態(tài)之中:企業(yè)只知道耗費財力購買新技術,并雇用更多的員工和合作伙伴來管理這些技術。這種方法最終造成了企業(yè)安全危機,因為安全團隊并不清楚公司擁有哪些資產(chǎn),而且基礎設施臃腫且難以管理。
這種被動的安全戰(zhàn)略不僅浪費金錢,而且會導致IT基礎架構(gòu)中混雜各種點解決方案,而這些點解決方案之間通常無法協(xié)調(diào)運作。很多時候,這會導致網(wǎng)絡基礎(企業(yè)自以為已經(jīng)構(gòu)建成功)出現(xiàn)裂縫,為網(wǎng)絡犯罪分子入侵留有可乘之機。事實表明,更多的安全支出并不總是意味著能夠減少安全事故。
組織必須重新思考自己應該如何處理安全支出。在每次購買新產(chǎn)品之前,企業(yè)必須認真衡量自身對最佳技術的需求性,以及其對建立安全基礎設施的重要意義。為了應對技能日益精湛的網(wǎng)絡犯罪分子,企業(yè)必須將自身的安全基礎設施和運營方式從被動、笨拙和以產(chǎn)品為中心,轉(zhuǎn)化為有計劃、可預測以及以優(yōu)化和協(xié)調(diào)為中心的模式。
二、人是最薄弱的環(huán)節(jié)
安全倡導者多年來一直在警告“內(nèi)部威脅“的危害性。一些想要竊取公司數(shù)據(jù)的惡意雇員和其他內(nèi)部人士,會在未經(jīng)授權的情況下訪問企業(yè)機密的系統(tǒng)和服務器,并執(zhí)行惡意軟件來損害公司網(wǎng)絡。當然也會存在一些意外情況,例如員工錯誤地將機密數(shù)據(jù)存放在云中,雖然這種方式是無意的,但同樣具有破壞性。
如今,還存在第三種因素能夠加劇這種內(nèi)部威脅:網(wǎng)絡安全技能的長期短缺致使聘用足夠的資源來管理如此復雜的基礎設施變得異常困難。結(jié)果導致IT團隊出現(xiàn)了職業(yè)倦怠(burnout,即個體在工作重壓下產(chǎn)生的身心疲勞與耗竭的狀態(tài)),并最終導致安全防御方面出現(xiàn)空白。這就解釋了為什么如此多的數(shù)據(jù)泄露事件并不是由精心部署的網(wǎng)絡攻擊造成的,而多是由簡單的人為錯誤(包括配置錯誤、未打補丁的系統(tǒng)以及其他基本衛(wèi)生因素)引起的。
公司所需的并不是“更多“而是”正確“——正確的安全戰(zhàn)略、正確的基礎設施以及正確的安全政策和流程。優(yōu)化網(wǎng)絡安全組合是企業(yè)必須邁出的第一步,它可以幫助實現(xiàn)安全更簡單、管理更便捷以及成本更低廉,在減輕安全專業(yè)人員負擔的情況下,允許他們可以優(yōu)先考慮更具保護和業(yè)務價值的更高級任務。
三、員工可以成為第一道防線
雖然員工可能會為企業(yè)帶來嚴重的安全風險,但是他們也可以成為企業(yè)應對網(wǎng)絡犯罪分子的第一道防線。幫助他們實現(xiàn)這一角色最有效的方法就是創(chuàng)建一個強大的網(wǎng)絡安全文化,鼓勵和獎勵員工的安全意識和安全在線行為。
如果員工理解自身在維護公司網(wǎng)絡和數(shù)據(jù)方面的重要性,他們將更傾向于實現(xiàn)自己的責任并遵守公司的政策。因此,組織網(wǎng)絡安全教育和培訓計劃是非常重要的,它可以教導員工有關網(wǎng)絡犯罪分子的攻擊手段和策略,例如勒索軟件和網(wǎng)絡釣魚,以及在發(fā)現(xiàn)威脅時應該如何應對等。
此外,清楚地解釋員工如何管理自己的在線活動,并定義“可接受“和”不可接受“的公司網(wǎng)絡、軟件和設備的訪問和使用方式也是同樣重要的環(huán)節(jié)。為了推進網(wǎng)絡安全行為實踐以及調(diào)動員工的參與度,企業(yè)可以考慮制定獎勵計劃,舉辦月度知識競賽或是推出游戲化項目等。
在意識、培訓和明確的安全政策的基礎上,構(gòu)建強大的網(wǎng)絡安全文化需要付出大量的時間和心血,但是最終的結(jié)果一定會證實一切前期投入都是值得的。
四、 漏洞修復的作用不容忽視
在下一代網(wǎng)絡安全工具時代,漏洞修復看起來像是一項微不足道的任務,但不可否認的是,它是強大的網(wǎng)絡安全計劃不可或缺的重要組成部分——Meltdown(熔斷)和Spectre(幽靈)漏洞事件已經(jīng)向我們證實了這一事實。與之前普遍存在的漏洞修復工作相比,修復Meltdown / Spectre漏洞所需的努力水平可能要呈指數(shù)級增長。
造成漏洞修復工作存在差異的影響因素包括:所需補丁的數(shù)量,將正確補丁放在正確系統(tǒng)上的復雜性,以及了解補丁對受影響系統(tǒng)和應用程序的性能和穩(wěn)定性影響所需的測試等。由于公司無法更新老舊設備,使得補丁管理問題變得更為嚴重,因為老舊系統(tǒng)上的修復工作比新系統(tǒng)的修復更困難。
在新產(chǎn)品更新迭代日新月異的時代中,企業(yè)必須將重點放在基礎問題上,將基本的安全技術和流程(如漏洞修復)置于最佳位置,以最大限度地降低風險,維護基礎設施安全,厘清當前的混亂狀態(tài)。
五、安全是一個業(yè)務問題
首席信息官(CIO)和首席信息安全官(CISO)過去曾一直很難入主高級管理層和董事會。造成這一現(xiàn)象的其中一個主要原因是他們無法以其他管理人員和董事會成員能夠理解的方式來表達清楚自己的業(yè)務;他們也無法將安全支出與公司的總體風險狀況相關聯(lián)。結(jié)果,由于戰(zhàn)略決策是在沒有安全投入或很少投入的情況下運作的,他們也很難確保業(yè)務運營的效率。
雖然該問題多年來一直存在,但在許多公司安全依然屬于不成熟的領域。安全管理人員必須通過直觀數(shù)據(jù)和關鍵績效指標,才能開始以可理解和有意義的方式報告其運營情況。通過和其他業(yè)務部門保持一致的方式對安全運營進行預算和評估,將有助于安全管理人員在業(yè)務戰(zhàn)略和規(guī)劃中發(fā)揮更加突出的作用,同時使企業(yè)能夠準確地將安全投資與風險狀況聯(lián)系起來。
除此之外,能夠說出“業(yè)務語言”將成為助力安全管理人員獲得高級管理層和董事會席位的唯一最重要的因素。
