10步改善企業(yè)的分層防御策略
在安全社區(qū),或者廣義上講當代人類信息社會中,一直存在一個問題。問題就是:我們一直將安全看作是一種技術、策略、隱私,或者人力問題,而不是一個綜合集成的組合。無論如何,盡管我們制定了諸多的標準、法律,創(chuàng)造了最佳范例,嘗過了經(jīng)驗教訓,也產(chǎn)生了新技術,我們卻一直在踐行深度防御上走在了錯誤的道路上。
我們?nèi)匀粚踩暈镮T問題,依然把風險和合規(guī)當成日常文書工作。我們的整個組織中缺乏真正的安全氛圍。我們?nèi)耘f認為有入侵檢測系統(tǒng)(IDS)、安全信息和事件管理(SIEM)和反病毒軟件就夠了。我們還覺得審計、合規(guī)和運營中心分層的服務臺方法就是深度防御的全部,尤其這些工作都處于一種各自為政的企業(yè)文化下。
如果我們真心想改善今天的安全狀況,就要采取措施改變?nèi)藗兛创⒍x和處理這些安全問題的態(tài)度和方法。下面的十種方法,可以幫助改善我們的分層防御策略:
1. 設立首席安全風險官(CSRO)職位
應當設立CSRO職位,作為公司負責所有安全和風險事務的獨立首腦,直接向CEO、董事會和政務官員等匯報。
涉及內(nèi)容可能包括突發(fā)事件、人身安全和物理安全問題、隱私問題,以及網(wǎng)絡安全問題。傳統(tǒng)的首席信息安全官(CISO)、首席安全官(CSO)、副首席信息官(deputy CIO)或安全總監(jiān)在當前態(tài)勢下已經(jīng)不能發(fā)揮效用。這一角色不應歸為首席財務官(CFO)、首席運營官(COO)、首席信息官(CIO)和首席技術官(CTO)的下屬,但可以代替CISO、CSO和首席風險官(CRO)之類的角色。
2. 組建CSRO團隊
我們應當組建一支在首席安全風險官(CSRO)及其副手領導下的權威的跨職能團隊,作為公司所有安全和風險問題決策、響應協(xié)調(diào)、問責、領導和策略實施的唯一權威機構。
這一團隊至少每周要有一次例會,還得有細致恰當?shù)恼鲁檀_保每名團隊成員都對團隊有投票權,并且獲得組織內(nèi)部最高層的書面授權。團隊應當也必須包含至少下列類型的主題專家(SME)成員:
高級IT安全SMEs
高級法律顧問代表
高級隱私官
高級人力資源代表。
高級審計和財務代表(來自組織內(nèi)部的CFO/COO部門)
高級物理安全和人身安全經(jīng)理/SME
高級項目經(jīng)理和運營管理代表
高級技術工程師
合適的業(yè)務領域/數(shù)據(jù)/信息/系統(tǒng)業(yè)主(根據(jù)需要)
關鍵外部合伙人、供應商和客戶利益相關者(根據(jù)需要)
3. 采用積極防御戰(zhàn)略
總體戰(zhàn)略中必須包含以積極防御的形式呈現(xiàn)的攻擊性元素。這不是說需要直接攻擊那些假想敵。不過,確實需要蜜罐、無惡意的木馬和其他方法去研究攻擊者,獲取可信的特征,增加威懾力或使敵對方的努力化為泡影也是可行且應該采用的方法。此外,直接攻擊應該留給現(xiàn)實世界中有既有管轄權的家伙們干,比如軍隊、情報機構和執(zhí)法部門。
4. 實施深度防御
開放系統(tǒng)互連(OSI)模型的全部層級,加上人員層,都必須納入組織的深度防御方法中來。
比如,網(wǎng)絡級入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)、網(wǎng)頁內(nèi)容過濾、網(wǎng)站應用防火墻、惡意軟件分析工具、漏洞分析工具、帶數(shù)據(jù)泄露防護(DLP)的主機級IPS、電子取證工具、閑時加解密,以及傳輸工具、巡回工具、SIEM和機器數(shù)據(jù)挖掘工具等,從應用層防護直到物理層防護都應該裝上。手機應用和數(shù)據(jù)安全,帶服務等級協(xié)議(SLA)的云安全和無線保護也應該包括進來。
5. 及時調(diào)整
通過每日、每周、每月的調(diào)整提升安全基準是必要的。在經(jīng)常使用的基礎上學習輕量級目錄訪問協(xié)議(LDAP)、簡單網(wǎng)絡管理協(xié)議(SNMP)、域名服務系統(tǒng)(DNS)、超文本傳輸協(xié)議(HTTP)和其他你網(wǎng)絡中出現(xiàn)的流量。觀察管理員帳戶行為,知曉你的訪問控制實踐,而不僅僅是寫在紙上的章程。另外,為需要或要求各種不同類型軟件的業(yè)務單位建立起一套請求流程和變動控制程序。
保證安全測試、評估和分析,檢測與鎖定部署在組織內(nèi)部資產(chǎn)上的主機鏡像以預防用戶安裝未經(jīng)授權的軟件。鎖定特定組織里非正常行為遠比對著長長的信息技術基礎設施庫(ITIL)故障清單去處理儀表板上彈出的一個個IDS/IPS和SIEM警告要簡單得多。
事實上,全部資源投入到研究組織內(nèi)部的動態(tài)行為上遠比浪費在追逐警告和產(chǎn)生故障清單數(shù)據(jù)要好得多。
6. 用好白名單和黑名單
這需要定好基準底線,但同樣需要主動的全球惡意軟件分析。應該從其他很多組織的事后報告中研究攻擊指示器、威脅情報和事件,而不僅僅局限于你所在的組織。然后,將研究成果應用于組織中不斷發(fā)展的安全基準中。
7. 建立漏洞管理和補丁管理程序
將網(wǎng)絡的所有部分——所有硬件、軟件和用戶組,打散嵌入到每日、每周、每兩周或每月一次的任務計劃表中。這樣一來,所有部分至少每90天就能被掃描一遍,給最新的漏洞打上補丁。
為每個部分建立一張聯(lián)系人列表,負責解決已發(fā)現(xiàn)的漏洞和失效的補丁。這樣至少可以創(chuàng)建一個將測試和彌補漏洞當成常態(tài)的合作氛圍,而不僅僅是合規(guī)操作或?qū)徲嫷鹊取?/p>
8. 建立協(xié)同工作環(huán)境
將在辦公室里充分利用在線和虛擬滲透測試、惡意軟件分析和取證工具、網(wǎng)站、實驗室等當成常態(tài),而不是例外情況。為你的團隊建立一套每周在不同領域交叉培訓的機制。
打造一支組織團隊參與全球性的攻防競賽和組織內(nèi)部的類似競賽。建立內(nèi)部百科和培訓課程,讓弟兄們可以每周或者每月互相學習。
這樣就能在預算不足以支持飛去參加各大會議和常規(guī)培訓的時候也能讓你的現(xiàn)有員工繼續(xù)成長了。最好的團隊是成員間相互合作且能交叉培訓共同成長的團隊。這對團隊散布各地且各部門間職能分散的大型組織而言尤其重要。讓協(xié)同合作的文化成為常態(tài),而不僅僅是一個小插曲。
9. 留出成長和成功的機會
領導經(jīng)驗、培訓和首要與次要職責之間的位置轉換對個人而言通常很重要,而且長期來看公司也是穩(wěn)賺不賠的。這一條實施起來與上面第8條類似,不過這一次,交叉訓練要在非技術人員間展開。這將進一步使你的技術人員和非技術人員在其他首要與次要職責領域進行交叉培訓以獲取新的技能,進一步建立一種相互尊重、交叉提高和經(jīng)常性交流的協(xié)同合作氛圍。
10. 保持警醒
最后,即使你覺得萬事ok,至少應該每年兩次雇外人實際地或者通過網(wǎng)絡對你的組織進行評估、滲透和審計。這樣你的組織才會從門衛(wèi)到高層都保持警醒。
