高效安全團隊的7個習慣
安全需要聰敏的人員、過程和技術(shù)(PPT)。但該PPT方程式中“人(P)”的部分往往被忽略掉了。
互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)預測,全球數(shù)字化轉(zhuǎn)型技術(shù)開支今年將達1.3萬億左右。但防控現(xiàn)代威脅需要的不僅僅是技術(shù)解決方案,還需要強有力的安全團隊。
強安全團隊由什么組成?
如果你已經(jīng)遭遇過惡意軟件感染或別的安全事件,你可能就會覺得自己的安全團隊肯定稱不上強安全團隊。然而,個別事件代表不了團隊的能力。
基于與數(shù)百名安全人員和一些全球最具安全意識的組織共事的經(jīng)驗,可以得出最高效安全團隊具備的7個習慣。
1. 投資威脅情報,不寄希望于安全萬靈丹
安全技術(shù)只是達到目的的手段或方法。盡管投入大量資源,公司企業(yè)仍常常在安全事件發(fā)生數(shù)月之后才檢測到,然后忙于在數(shù)據(jù)都滲漏出去之后的漏洞修復。
更糟的是,這種事后分析通常都會發(fā)現(xiàn)之前被忽視掉的跡象。最好的安全團隊運用技術(shù)以更為積極主動地做出風險管理決策。他們用技術(shù)綜合來自整個企業(yè)的數(shù)據(jù),方便分析師做出更為明智的決策。
2. 了解哪些東西需要保護
攻擊者發(fā)動攻擊總要有個最終目標。成功的安全團隊會從攻擊者的角度思考,了解每臺電腦、服務器和技術(shù)產(chǎn)品與該最終攻擊目標之間的聯(lián)系,摸清這些設備和產(chǎn)品一旦被黑可能會給公司帶來的風險。
攻擊者花費大量時間研究目標和基礎設施,尋找漏洞,并重新評估每一步的環(huán)境。想要阻止攻擊,就要了解攻擊者的這些行為模式。隨時保護所有東西是不現(xiàn)實的——會按對公司的重要程度給資產(chǎn)和可能的攻擊途徑排個優(yōu)先級的團隊就具備了成為好團隊的潛質(zhì)。
3. 明白警報并不全面
最高效的安全團隊幾乎從不響應安全警報。相反,他們將警報當成定義優(yōu)先級的風險評估中的另一數(shù)據(jù)點。
盲目追逐每一個警報是安全團隊通往失敗的坦途,只會制造混亂,對改善公司安全狀況毫無用處。最好的安全團隊會在上下文中考慮警報的嚴重性,綜合進諸如攻擊目標和攻擊行為對公司造成影響的可能性等其他因素。高效安全團隊會將可能導致最大傷害的事件列為頭等大事。
4. 清醒認識AI替代不了人類直覺
用人工智能和機器學習替代安全團隊或許是安全行業(yè)中炒作最甚也最為危險的一個趨勢。
人類決策是創(chuàng)建和實現(xiàn)強企業(yè)安全不可或缺的,因為人類的洞察力可以補償數(shù)學模型的固有局限。技術(shù)投資應聚焦支持安全團隊和自動化繁瑣任務,比如要求高度面向過程專業(yè)知識的取證調(diào)查。最好的團隊民主化該職能,充分賦予人類員工做出重要風險管理決策的權(quán)力。
5. 溫故知新,防患未然
最好的團隊從過往攻擊中學習積累經(jīng)驗以在未來更好地保護自身。盡管攻擊者會改進其惡意軟件和工具,他們的策略往往大體不變。最為成熟的安全團隊不僅僅觀測惡意軟件,他們審查異常行為和不屬于自身環(huán)境的行為。
6. 視安全為團隊運動
Cybersecurity Ventures 宣稱,到2021年,全球網(wǎng)絡安全職位空缺將達350萬個。安全團隊需打造下一代安全人員隊伍。最成功的團隊通過創(chuàng)建保證可重復性結(jié)果的過程來泛化隊伍。可重復的戰(zhàn)術(shù)手冊能夠被團隊中任何成員使用,最好的團隊不僅擁有可重復的戰(zhàn)術(shù)手冊,還具備一定的機制以保留、共享和應用自身積累的技術(shù)知識。
7. 不斷精進
最好的團隊通過測試漏洞和記錄評估結(jié)果,持續(xù)改進自身安全配備。該信息饋送給安全團隊,他們便可識別并清除掉網(wǎng)絡基礎設施中的漏洞。這種集體負責制的文化確保了整個團隊都專注于更宏觀的目標。
企業(yè)防御工作一直在發(fā)展進化。我們很容易落入只有購買最新安全技術(shù)才能更好地保護企業(yè)安全的思維陷阱。然而,甚至在安全方面豪擲上億美元的企業(yè)都會遭遇安全事件。
安全需要綜合投資人員、過程和技術(shù),但這三者間“人”的部分往往會被忽視。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
