高效安全團隊的7個習慣
安全需要聰敏的人員、過程和技術(PPT)。但該PPT方程式中“人(P)”的部分往往被忽略掉了。
互聯網數據中心(IDC)預測,全球數字化轉型技術開支今年將達1.3萬億左右。但防控現代威脅需要的不僅僅是技術解決方案,還需要強有力的安全團隊。
強安全團隊由什么組成?
如果你已經遭遇過惡意軟件感染或別的安全事件,你可能就會覺得自己的安全團隊肯定稱不上強安全團隊。然而,個別事件代表不了團隊的能力。
基于與數百名安全人員和一些全球最具安全意識的組織共事的經驗,可以得出最高效安全團隊具備的7個習慣。
1. 投資威脅情報,不寄希望于安全萬靈丹
安全技術只是達到目的的手段或方法。盡管投入大量資源,公司企業仍常常在安全事件發生數月之后才檢測到,然后忙于在數據都滲漏出去之后的漏洞修復。
更糟的是,這種事后分析通常都會發現之前被忽視掉的跡象。最好的安全團隊運用技術以更為積極主動地做出風險管理決策。他們用技術綜合來自整個企業的數據,方便分析師做出更為明智的決策。
2. 了解哪些東西需要保護
攻擊者發動攻擊總要有個最終目標。成功的安全團隊會從攻擊者的角度思考,了解每臺電腦、服務器和技術產品與該最終攻擊目標之間的聯系,摸清這些設備和產品一旦被黑可能會給公司帶來的風險。
攻擊者花費大量時間研究目標和基礎設施,尋找漏洞,并重新評估每一步的環境。想要阻止攻擊,就要了解攻擊者的這些行為模式。隨時保護所有東西是不現實的——會按對公司的重要程度給資產和可能的攻擊途徑排個優先級的團隊就具備了成為好團隊的潛質。
3. 明白警報并不全面
最高效的安全團隊幾乎從不響應安全警報。相反,他們將警報當成定義優先級的風險評估中的另一數據點。
盲目追逐每一個警報是安全團隊通往失敗的坦途,只會制造混亂,對改善公司安全狀況毫無用處。最好的安全團隊會在上下文中考慮警報的嚴重性,綜合進諸如攻擊目標和攻擊行為對公司造成影響的可能性等其他因素。高效安全團隊會將可能導致最大傷害的事件列為頭等大事。
4. 清醒認識AI替代不了人類直覺
用人工智能和機器學習替代安全團隊或許是安全行業中炒作最甚也最為危險的一個趨勢。
人類決策是創建和實現強企業安全不可或缺的,因為人類的洞察力可以補償數學模型的固有局限。技術投資應聚焦支持安全團隊和自動化繁瑣任務,比如要求高度面向過程專業知識的取證調查。最好的團隊民主化該職能,充分賦予人類員工做出重要風險管理決策的權力。
5. 溫故知新,防患未然
最好的團隊從過往攻擊中學習積累經驗以在未來更好地保護自身。盡管攻擊者會改進其惡意軟件和工具,他們的策略往往大體不變。最為成熟的安全團隊不僅僅觀測惡意軟件,他們審查異常行為和不屬于自身環境的行為。
6. 視安全為團隊運動
Cybersecurity Ventures 宣稱,到2021年,全球網絡安全職位空缺將達350萬個。安全團隊需打造下一代安全人員隊伍。最成功的團隊通過創建保證可重復性結果的過程來泛化隊伍。可重復的戰術手冊能夠被團隊中任何成員使用,最好的團隊不僅擁有可重復的戰術手冊,還具備一定的機制以保留、共享和應用自身積累的技術知識。
7. 不斷精進
最好的團隊通過測試漏洞和記錄評估結果,持續改進自身安全配備。該信息饋送給安全團隊,他們便可識別并清除掉網絡基礎設施中的漏洞。這種集體負責制的文化確保了整個團隊都專注于更宏觀的目標。
企業防御工作一直在發展進化。我們很容易落入只有購買最新安全技術才能更好地保護企業安全的思維陷阱。然而,甚至在安全方面豪擲上億美元的企業都會遭遇安全事件。
安全需要綜合投資人員、過程和技術,但這三者間“人”的部分往往會被忽視。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
