威脅預測的“新”定義
若對成功抱有不切實際的期待,安全工作將很難正確開展。安全團隊需澄清“威脅預測”的概念,去除有關威脅預測的3個常見誤解,將公司對預測性安全的理解從科幻小說拉回到現實中來。
在重定義威脅預測的問題上,人們將“預測”作為安全工具的一部分來討論的時候,常會錯誤理解了“預測”的含義;而安全分析師有3種方法可以搞定這些莫名其妙的誤解。安全團隊其實可以將對安全預測的正確理解映射到可自適應企業需求的實用框架中。不過,首先得鞏固一下何謂“預測”:
看到未來
不妨先做個思維小訓練:某業務開放的關鍵Web服務器有個已知高危漏洞,接下來的一天內會發生什么?一周內呢?
對該問題的回答根植于回答者的經驗、知識和業務目標。只要給你一點點信息,你可能就會在腦海中想出各種問題和答案。你預期了很多事:電子郵件、電話、大大小小的決策、會議……
測試似乎有點傻氣,但重點是,只要我們的預期貼合實際,我們就能看到未來。其正確性部分來自于兩個基本但超級簡單的原則:(對風險或回報的)預期和(基于上下文的)決策。
我們暫且放下“預測”這個術語。預期是怎么回事,相信大家都知道,我們不妨在此基礎上進一步介紹一些實際的應用程序。
預期:可見性與上下文
怎么預期上述Web服務器出現關鍵漏洞后的場景?幾個關鍵的知識點不可少:首先,存在關鍵漏洞;其次,該服務器是面向互聯網的。有關這兩個知識點的爭論我們不再贅述,畢竟我們的目的不是為了打造安全潮詞分類表。在此,我們僅將這兩個知識點統稱為可見性——對資產配置的可見性。
可見性是用來驅動決策的,無論該決策是由判定警報優先級的安全操作員做出,還是由判斷是否需要通知司法機構或律師團隊的安全主管做出。我們只需要知道一點:好的決策部分來自于人的判斷,部分出自上下文環境。上文所述開放Web服務器出現高危漏洞的場景中,上下文指的就是有一臺業務關鍵的Web服務器。或者,也可以指的是有公開報道稱該漏洞正被黑客加以利用。上下文掌握得越多,決策的置信度就越高。為安全團隊成員和其他業務主管提供的上下文越相關,他們相信并遵從安全決策的可能性就越高。
可見性和上下文不僅限于威脅預測,事件響應場景中也很重要。綜合運用可見性和上下文,能夠使安全團隊具備預期威脅在公司網絡中所做動作的能力,也可使安全操作員能夠做出修改配置、保留證據或開展額外分析之類決策。有些人用“戰術手冊”這樣的術語來描述分析師或安全主管針對特定事件可能采取的動作。但可見性與上下文的缺乏會讓完成這些動作更加耗時。
建立實用預測
我們可以將預期、可見性和上下文的概念映射成一些具體的要求,以便公司能以預測性的方式執行安全運營。
預期
設立預期目標,記得該預期根植于想要的結果。另外,弄清業務重點。不妨給團隊一些壓力來讓他們理清自己的工作重點。像“沒有數據泄露”,或是“別讓我被文件埋了”這種不算預期目標,不過是些希望、愿望之類的。設立預期目標指的是要有類似“30分鐘之內檢測并響應任務關鍵問題”這種有意義的目標。
可見性
有了明確的預期,就可以著手確定達成該目標需要哪些方面的可見性了。比如上文提到的Web服務器的例子中,你將需要對網絡和對該Web服務器自身的可見性,還有可能需要對Web應用或身份驗證服務的可見性。知道該Web服務器可以訪問哪些資產,有益于更好地了解都有哪些東西暴露在公網,可以預期會遭到何種攻擊。
上下文
記住:上下文是決策驅動器。與人類感知類似,上下文也來自于整合不同系統獲取的信息。想要發展上下文,就得集成多個系統,比如業務應用或第三方安全資源。不妨捫心自問,拿到一個IP地址,你的安全團隊要花多長時間才可以確認該IP是不是一個任務關鍵資產?或者,這IP屬于誰?再或者,如果這個IP掉線,有多少人或多少利潤會受到影響?
說回本文開頭提出的Web服務器的場景。你能說出兩到三個缺失的可見性或上下文嗎?隨著安全繼續推進到全球公司企業聚焦的中心,分析師和安全團隊也有了重構公司預測與安全態勢的機會。確保每個團隊都對風險管理中漏洞方法的優勢、缺點和定義有個準確的認知,可以將對安全團隊業績表現的預期從科幻電影拉回到現實中來。因為在現實世界,對手不會翻墻而入,他們與用戶共享同一片地形。安全團隊的工作就是要查清這片地形,并用對地形的了解有效布置其風險緩解資源,重點保護最有價值或最脆弱的區域。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
