創建網絡安全團隊的3個步驟
基于多年來積累的洞察力豐富經驗,Global Knowledge推出了一個卓越的網絡安全組織的最佳實踐模型,使其研究知識和經驗能夠應對并驗證數百個各種規模的組織。在研究世界級網絡安全組織時,發現了成功的網絡安全組織似乎有著幾個共同的關鍵特征。那么組織如何建立一個成功的網絡安全團隊呢?
步驟1:承認網絡安全是人員問題而不是技術問題,因此需要優先考慮
許多人表示,在計算機和網絡出現之前,網絡安全不是問題。就目前而言,這是事實。然而,每一次網絡安全攻擊都是由人類發起的,每一次緩解和響應都是由人類實施的。除非配置防御者配置,否則系統不會自動采用防御措施。
這并不是貶低當今在網絡安全產品中出現的重大突破。如今,很多組織采用生物識別掃描儀、行為分析和基于機器學習的系統檢測零日攻擊。這些確實提高了安全性。然而,人們相信,盡管采用所有這些先進的系統,仍然需要人工參與做出購買決策,部署并將它們集成到解決方案中。這一關鍵部分中,人類對網絡安全成功的投資回報率(ROI)影響最大。沒有豐富經驗和知識淵博的技術人員正確實施配置的防火墻或入侵防御系統將永遠不會按預期工作。
網絡安全團隊所能做出的最好的投資就是他們自己。在知識、技能和能力方面的投資將會提升他們部署的任何技術解決方案的價值。根據全球IT技能和薪資報告,人們看到全球IT技能差距的上升趨勢,特別是在網絡安全方面。與任何其他職能領域相比,決策者正在努力聘請優秀的網絡安全人才。而近年來,網絡安全專業人員的短缺趨勢越來越嚴重。
隨著招聘和外包成為企業面臨的一項重大挑戰,對人員的培訓和投資比以往任何時候都更加重要。正如Steven Covey在其“高效人士的7個習慣”文章中所說,企業必須“工欲善其事,必先利其器。”這意味著企業可以保留并加強擁有的最大資產,那就是人才。因此,建立一個成功團隊的第一個步驟就是優先考慮培養和保留人才。
步驟2:解決人為因素,以便企業的網絡安全思維可以在遭遇攻擊之前發展
正如人們所觀察到的,技術的生命周期隨著時間的推移而變化,網絡安全也不例外。隨著時間的推移,網絡安全思維的演變與軍事思維相似,這可能并非巧合。起初,網絡安全專注于強大的“外圍防御”,就像現實世界的堡壘一樣。但實際上,人們無法控制門外發生的事情,只能建造堅固的墻(抵抗直接攻擊)。并密切檢查通過大門的任何東西。這種思維方式導致了防火墻(網絡)和病毒檢查程序(計算機)的成功崛起。
后來,隨著攻擊者越來越隱秘地掩蓋他們的入侵方法和目的,網絡安全形勢再次演變。在這種情況下,雖然對外圍攻擊和入侵的檢查仍然存在,但安全維護者承認,如果入侵者確實設法進入安全陣地,他們就可以不受限制自由地進入。而對策是采用“縱深防御”的理念。這種模式相當于讓守衛者在城堡內的內部各處漫游,查找任何人的異常行為。在網絡安全的情況下,這意味著需要在網絡上安裝網絡入侵檢測系統(NIDS),在服務器上安裝主機入侵檢測系統(HIDS)。這是一個深刻的轉變,從一維思維到二維思維,并且在捕捉更多入侵方面非常成功。現在,這些系統不僅可以檢測,還可以阻止入侵,使其成為一個強大入侵防御系統(IPS)。
最新思想涉及“零信任”網絡安全的理念。這個模型相當于鎖上城堡中的所有房間,只為每個人需要的房間提供鑰匙。這種鎖定模型運行良好,因為即使憑據受到損害,它也會限制暴露于最小數據和系統的風險。
這些都是相互依賴的強有力的方法。但是,它們仍然只在兩個方面運作(主要是技術,還有一些政策)。為此建議采用更通用的方法解決問題。而成功的網絡安全是一個涉及人員、流程和技術的三維解決方案。成功的網絡安全組織會考慮這三方面因素并使其正確部署。
如上所述,其中的一個維度是技術。組織使用可用的最佳技術來解決安全問題至關重要。組織需要購買并整合各種技術中的最佳解決方案,以獲得最佳的防御措施。
但是流程這個第二個維度更為重要。如果沒有正確配置和維護,那么擁有前沿入侵防御系統(IPS)是沒有用處的。它不能保護沒有修補和更新的系統。它當然不能防止濫用用戶密碼和憑據。簡而言之,在技術解決方案開始發揮作用之前,必須建立流程。
最后,最重要的維度是人員。正如技術在沒有過程的情況下毫無用處一樣,如果沒有人,流程就毫無用處。人們需要適當的知識、技能和能力才能實施和遵循流程并部署技術。因此,網絡安全有三個方面:人員、流程和技術。最重要的是人。
步驟3:網絡安全正在逐漸成為成熟的子專業,專業人士應該獲得所需的技能
例如,汽車修理行業多年來致力于實現專業化。現在有油漆車間、變速箱車間、剎車片車間、輪胎車間等。即使客戶將汽車開到全方位服務設施或經銷商那里,仍然有專家在那里工作。
同樣,網絡安全也變得越來越復雜,以至于已經出現了一些子專業。在對成功實施網絡安全組織的分析中,在過去幾年出現了8個特定的專業。規模非常大的組織在這8個專業中都設置團隊。而只有少數網絡安全人員的小型組織的員工只能身兼多職,或一些專業進行外包,或者這兩方面兼而有之。
這8個專業分別是:
- 架構和政策
- 數據丟失預防
- 治理、風險和合規性
- 身份和訪問管理
- 事件響應和法醫分析
- 滲透測試
- 安全DevOps
- 安全的軟件開發
