新一年,你該如何調(diào)整企業(yè)安全方案?
在大多數(shù)信息安全會議上,安全研究人員都會展示他們可如何繞過你企業(yè)中使用的關(guān)鍵安全控制,這些研究人員通常會展示他們?nèi)绾卫寐┒椿蚋拍钭C明攻擊來控制你整個企業(yè)。例如在2015年歐洲黑帽大會上,安全研究人員Ian Haken展示了可如何繞過Microsoft BitLocker,這意味著全磁盤加密面臨威脅。在同一個會議,安全專家Haroon Meer談到信息安全行業(yè)如何未能保護我們的企業(yè)。這兩個演講都表明企業(yè)需要快速調(diào)整其安全方案來應(yīng)對新的正在出現(xiàn)的威脅。
在本文中,讓我們來看看企業(yè)安全方案的發(fā)展以及如何作出調(diào)整來應(yīng)對新出現(xiàn)的威脅。
企業(yè)安全方案的發(fā)展
信息安全起初只是由密碼、防火墻和防病毒軟件組成,隨后迅速發(fā)展到更安全的密碼、下一代防火墻、反惡意軟件工具等。當然還有很多顯著的改進,但很多企業(yè)安全方案還沒有從核心安全控制繼續(xù)發(fā)展,或者還沒有學(xué)習(xí)如何將不斷變化的風險緩解納入其安全方案。
例如,全磁盤加密(FDE)已經(jīng)成為很多企業(yè)的核心安全控制,但Haken的研究表明有關(guān)FDE先前的假設(shè)需要進行更新以反映他的新研究。很多企業(yè)決定部署透明的FDE,因為這可最小化對最終用戶的影響,并至少需要他們改變其行為。雖然這比沒有部署透明的FDE更安全,但這種做法的安全性其實比不上其他可用選項,因為這個過程對用戶不可見,且不需要額外的密碼或身份驗證。
Haken的攻擊是繞過域名賬戶的身份驗證,還允許攻擊者繞過BitLocker、微軟針對Windows的FDE功能,但這個攻擊需要登錄到管理員賬戶以及物理訪問到客戶端設(shè)備。潛在的緩解方法包括使用BIO密碼、預(yù)啟動身份驗證或安裝微軟的補丁程序。他在結(jié)束時說道,當威脅模式變化時,“你需要重新評估以前的安全選項”。
對于已經(jīng)部署透明FDE的企業(yè)而言,應(yīng)該評估身份驗證和FDE繞過對其企業(yè)的影響以及未來可能出現(xiàn)的繞過,以確定使用透明的FDE是否是可接受的風險,或者是否還需要部署其他的安全控制。這種新攻擊可能推動一些企業(yè)從使用透明的FDE到在其FDE部署中要求預(yù)啟動身份驗證。這是企業(yè)安全方案應(yīng)基于有關(guān)威脅和漏洞的新信息來進行調(diào)整的例子。
如何調(diào)整企業(yè)安全方案
圍繞如何調(diào)整企業(yè)安全方案的挑戰(zhàn)并不是新鮮事,但隨著更多資源投入到信息安全,并且企業(yè)董事會都已經(jīng)參與其中,這項工作已經(jīng)開始受到嚴格的審查。正如Meer在其演講中所指出的,董事會現(xiàn)在開始詢問或者將會詢問為什么他們在信息安全方面的投資未能充分保護其企業(yè)。
企業(yè)本身不太可能了解每個信息安全大會或新的研究報告,但企業(yè)可關(guān)注威脅情報服務(wù)或其他機制發(fā)現(xiàn)的新漏洞和新興威脅,并將這些數(shù)據(jù)整合到其信息安全方案中。企業(yè)可使用特定行業(yè)的信息共享,了解攻擊中經(jīng)常使用的惡意軟件、漏洞或攻擊技術(shù),以確定需要解決的最高優(yōu)先級事項。此外,企業(yè)還可在其信息安全風險管理方案中使用這些數(shù)據(jù)來評估風險、確定風險水平以及適當?shù)木徑獯胧M一步調(diào)整其信息安全方案。
所有這些不同的步驟可包括在企業(yè)的風險管理程序中,并用于根據(jù)這些評估的風險來更新安全方案。對于發(fā)現(xiàn)的重大風險,企業(yè)應(yīng)該執(zhí)行更深入的風險評估來確定適當?shù)膶Σ摺_@將可防止企業(yè)做出可能帶來負面影響的調(diào)整,而不是正面影響的挑戰(zhàn)。
企業(yè)在準備進行這些變更時,需要的不僅僅是企業(yè)安全方案和人員;IT所有人員以及很多最終用戶都將可能需要參與。利益相關(guān)者還應(yīng)參與確定采取適當?shù)牟襟E來保護企業(yè)。在較早期與利益相關(guān)者溝通并對潛在必要的變化保持透明化,利益相關(guān)者可幫助推動這些必要的變更,例如當企業(yè)在確定現(xiàn)在是否需要預(yù)啟動身份驗證來保護FDE的端點時。這些變化可能是非常規(guī)的,但可為保護企業(yè)提供最佳方案。
結(jié)論
在40年間,企業(yè)信息安全已經(jīng)走過了漫長的道路--從最早抵御腳本小子到現(xiàn)在保護瞬息萬變的IT環(huán)境免受現(xiàn)代高級持續(xù)威脅。對于新出現(xiàn)的威脅和新風險,企業(yè)可在其信息安全風險管理方案中采取一些額外的措施來應(yīng)對。有些信息安全團隊可能會對這樣的變化猶豫不決,但面對BYOD、物聯(lián)網(wǎng)和云計算帶來不斷變化的IT環(huán)境,企業(yè)需要準備做出迅速變化來保護企業(yè)。
