安全團隊應理解攻擊面,更好地分配資金投入
在過去的幾年裡,攻擊面一直都在不斷地發生變化,我們要保護的東西已經不僅僅是基礎設施應用了,而各位首席信息安全官(CISO)也應該好好思考一下,如何更好地去分配企業在信息安全方面投入的資金,並儘可能地防禦網路攻擊。
不斷變化的安全風險
Misha Govshteyn是Alert Logic公司的聯合創始人兼首席信息安全官,他認為,長久以來,當人們在設計安全防禦策略時,一般只會考慮他們自己企業或周邊基礎設施終端的情況,但是這種保護基礎設施的時代已經結束了,我們應該將注意力放在「外面的世界」。
數字安全研究專家Earl Perkins則表示,我們的企業目前正處於一種多形式的無線網路環境,我們會越來越頻繁地去使用一些帶有處理器和存儲功能的小型設備,但是它們並不是傳統意義上的IT通用平台。而這些設備正在成為我們企業中的一個安全薄弱環節,如果這些設備無法得到有效的保護,那麼我們企業的資產將面臨嚴重的安全威脅。
Govshteyn表示,想要跟上這些變化並不是那麼簡單的,因此我們才要深刻理解那些受到大型企業重視的攻擊面,尤其是雲端的那些安全威脅。對於一家成立了五年的公司來說,他們其實現在正處於構建自己基礎設施的時候,他們的大部分產品都部署在雲端,而且還會涉及到多種雲端環境。現在很多企業或組織都可以直接購買SaaS應用了,所以他們對於防火牆的需求就會越來越低。除此之外,很多企業也不會再在防火牆後方部署傳統形式的數據中心了。對於這種企業來說,他們的攻擊面其實是非常分散的。有些攻擊面則是辦公室里坐在電腦屏幕前面的用戶和員工,因為他們從SaaS環境購買了應用或服務。
某些組織還會在本地環境部署一些自定義產品,然後再圍繞雲環境構建安全基礎設施,但是這兩者所採用的安全策略是截然不同的。在這種IT環境下,他們在保護終端設備、客戶端應用以及Web瀏覽器時所採用的安全技術與雲端部署的安全技術是完全不同的。
有根據地分配資金的投入
現在行業內有一種非常有意思的趨勢,即公司營銷部門所得到的預算要比IT部門高得多,但是Govshteyn認為,他已經看到了IT部門預算超過其他部門的跡象了。因為很多企業已經開始將權利下放給各個部門了,他們可以自行決定是否需要將產品託管在雲端或使用雲伺服器。那麼這個時候第二個問題就來了,我們應該如何保護應用和服務的安全呢?
在分配資金之前,我們一定要對自己的攻擊面有一個深入的理解,尤其是在財力資源匱乏的時候。Perkins說到:「一般來說,我們會通過評估風險優先順序來決定將資金投入到網路安全的哪一方面,這也是一種非常有效的方法。」
我們要完全理解企業核心業務所面臨的安全風險,然後通過將相應的安全技術部署到企業環境中來了解這些技術將會對安全風險造成怎樣的影響,通過評估這些安全技術的有效性以及企業核心業務和資產的優先順序來將正確的技術部署到正確的地方,這就是首席信息安全官確定資金分配方案的最佳方法。
當然了,這個過程也是非常複雜的。企業需要設立一個預算資金基線,這將涉及到風險管理的問題,而且還要頻繁地評估企業風險的演化進程。在這個過程中,我們需要根據安全風險的變化情況來重新評估企業核心業務服務的安全優先順序,並且還要確保自己所部屬的安全技術能夠很好地應對這些安全風險。
這不僅聽起來非常複雜,而且實現起來也並不簡單,因為我們在進行威脅檢測時所使用的技術也許並不能有效地檢測到針對企業資產的惡意攻擊。那麼此時我們如何才能確定核心業務的安全優先順序呢?Rook Security公司的創始人兼首席執行官J.JThompson認為,我們應該結合企業資產和網路攻擊這兩個因素來考慮這個問題,我們要根據網路犯罪分子攻擊的目標來判定安全優先順序。很多首席信息安全官會將注意力只放在抵禦網路攻擊的身上,因為他們並不關心企業的哪一塊業務遭受的攻擊最為嚴重,因為他們只會根據CVE或CVSS的評分來決定風險的優先順序,他們只對攻擊進行分類和定級,卻沒有將受到攻擊的企業資產考慮進去。
為了讓大家更好地理解Thompson的意思,他還專門講了一個例子,他說到:「假如我們檢測到了美國上空飛來了一顆導彈,那麼美國軍方對這顆導彈落在波士頓(美國馬薩諸塞州首府)和落在法戈(美國北達科他州東南部城市)時的應對策略肯定也是不一樣的。很多企業都已經部署了相應的工具來檢測安全威脅,這些安全工具雖然目前還可以正常工作,但是它們在信息串聯方面沒有做到位。當攻擊發生時,我們要根據受攻擊的目標來響應這些攻擊,我們應該將網路攻擊和受攻擊的目標結合起來。」
安全可見度
ProtectWise公司的首席執行官Scott Chasin認為,每一位首席信息安全官目前所面臨的最大挑戰就是如何確定攻擊面,而這種挑戰逐漸轉變成了「可見度」的問題,而很多企業幾乎根本沒注意到這方面的問題,他們可能會將五十甚至一百多種產品粘合在一起並部署到雲端,此時這些應用和服務的安全性對於企業來說相當於是「不可見」的,因為他們完全不了解這些雲計算服務的攻擊面。
網路是不會撒謊的,如果企業能夠記錄應用服務所有的網路活動以及網路數據,那麼這些日誌記錄就可以提升企業雲端服務的「能見度」,此時我們就可以根據囤積下來的警告數據建立一個標準來判定哪些活動是正常的,而哪些活動是非法的,但是很多企業在數據收集方面做得仍有欠缺。
結束語
企業的首席信息安全官只有在深入了解了攻擊面之後,才能更好地分配資金的投入。而對於他們來說,安全可見度已經成為了他們做決策時的關鍵因素。作為一名安全部門的高層管理者,我們必須了解自己公司所部屬的業務及服務,然後時刻對它們進行監控和檢測,然後及時響應不斷變化的安全威脅。
* 參考來源:networkworld, FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
※【企業研究報告】新一代防火牆的撕X大戲:Palo Alto Networks安全公司全解讀
※針對銀行釣魚事件的分析
※CIA泄露文檔後續:4年前美國記者的那場車禍是意外還是人為?
※【FB TV】一周「BUF大事件」:傳「京東內鬼泄露50億條公民信息」;Struts S2-045漏洞影響還在擴大
※美國交通部對Shadow IT的安全管理啟示錄
TAG:FreeBuf |
※高中地理:深入理解運動物體偏轉現象
※高中地理:利用極值法理解地理事物的變化
※全球4大公開禁地女性踏入的地方,太難理解了!
※深入理解,JAVA垃圾回收工作原理
※從大間隔分類器到核函數:全面理解支持向量機
※瓜帥:老闆不滿意球隊戰績,我完全理解
※西方國家難以理解,為什麼我們的軍隊行動不配武器
※社會需要更好地理解氣候變化經濟學
※菜鳥再回應:信息安全不讓步 順豐態度難理解
※深入理解計算機系統——操作系統的抽象概念
※公開禁止女性進入的地方,實在是不能理解
※「風水寶地」應該怎麼理解?
※理解太極拳拳理終身受益
※你所不能理解的區塊鏈 未來將支撐你創業提供資金
※達摩要送關羽五殺 結局只有隊友能理解了
※分娩的痛到底誰能理解?
※風水簡易入門,帶你更好理解風水
※腿部肌肉分布圖 深入理解腿部各個肌肉部位
※如何更好地理解神經網路的正向傳播?我們需要從「矩陣乘法」入手