“安全的組織”所具備的十大特質
在為眾多組織提供信息安全服務的18年職業生涯期間,我見過許多在信息安全方面做得不錯的組織——他們通過正確識別風險以及優先級排序,妥當保護關鍵數據,及時緩解安全風險,當然也有許多做得不好的。
那些具有良好安全習慣的組織(“安全的組織”)具有某些共同的特質,而這往往正是那些信息安全工作做得不到位的組織(“不安全的組織”)所缺乏的。
在本文中,我們會審視“安全的組織”所具備的十大特質。
“安全的組織”所具備的十大良好安全習慣
1. 在安全的組織中,信息安全工作得到高層管理的支持。高層支持包括制定信息安全的可用資源和預算,以及明確聲明信息安全是該組織的優先事項。既然由高層管理者為組織確定優先級并定下基調,那么沒有他們明確和持續的支持、想要成為一家安全的組織將極為困難。近期接連發生倍受矚目的安全事件,這促使多數高層管理者現在理解到信息安全工作的重要性,并將支持信息安全工作的投入。
2. 安全的組織會定期識別并記錄客戶和/或公司自有的敏感數據如何流入、經過和流出組織。這使得組織能夠集中時間、精力和金錢在敏感數據保護上。相反,一個組織難以去保護它并不了解的目標,而且如果組織不執行這項工作的話,他們也難以做出努力去保護他們的數據。
3. 安全的組織會為所有處理、傳輸或存儲敏感數據的系統創建和維護一份正式的記錄清單—包括操作系統,物理的或是虛擬化的,以及已經安裝了哪些主要應用程序。沒有這樣一份清單,組織不能充分理解它所必須保護的系統。而具備這樣一份清單,組織得以快速確定特定的安全漏洞是否會影響該組織的相關系統。
4. 安全的組織會對敏感系統與非敏感系統進行分區隔離,具體通過跳板模式配置、防火墻規則、路由器訪問控制列表(ACL)或交換機VLAN劃分。這樣能使得組織內敏感系統的攻擊面最小化,并允許嚴格控制和有日志記錄的系統訪問。
5. 安全的組織具備強變更控制流程,并被嚴格執行。包括緊急變更在內的各項變更都會被完整記錄,然后進行正式審核并被批準。未經批準的變更會導致無人知曉的安全漏洞,直至安全事件的發生。
6. 安全的組織具備強配置管理流程。通過一種自動化配置流程或諸如Puppet或Chef這類配置管理軟件工具,對敏感系統進行加固和必要功能的構建。初始構建以后,使用配置軟件工具周期性檢查系統配置、確保系統保持加固狀態,或者采用強變更控制以維護系統配置并防止服務器蠕變。
7. 安全的組織存儲盡可能少的敏感信息在它們的系統上。對于那些出于商業或法律原因必須保存的敏感信息,遵循每一個正式記錄的數據保留策略、存儲在盡可能少的系統上,當不再需要時則予以安全地刪除。所有存儲的敏感信息會被定期審查并應證明是正當存儲。
8. 安全的組織都采用強加密存儲和傳輸敏感數據,并具備強健的加密密鑰管理步驟和流程。如果進行正確實施和管理,強加密的數據本質上是“無法破解的”且對攻擊者不可用。
9. 安全的組織持續收集和檢查敏感系統產生的日志。使用腳本或自動化流程按照預定義事件進行日志檢索,例如添加新帳號一類事件。當檢測到這樣的事件,會發送告警給具體負責的員工,后續由他負責事件調查。
10. 安全的組織通過脆弱性掃描或滲透測試,定期測試敏感系統的脆弱性。正確、定期完成這樣的測試,能對組織安全控制的有效性提供“真實世界”的確認。如果一個組織未在測試它的防御能力,那么黑客很可能會做這項測試—當然他們并不會報告最終結果。
結論
上述這十項良好的安全習慣可以使組織安全并保持它的安全性。通過細致的規劃和設計,這些特質可能成為組織的一部分,即使組織未采購或實施復雜且昂貴的技術方案。
