著名的军事家和哲学家孙子曰:" 知彼知己者,百战不殆。" 两千年前的这句名言放在时下网络安全格局里是再恰当不过的了。私营部门和公共部门的安全领导者往往会忽略一些自己已经拥有的网络防御能力的基本问题。就网络安全领域而言,这可以归结为以下的问题:" 我是否知道我的内部控件在以应有的工作方式运作 ? 我们的网络状况是否安全 ?"
了解内部弱点和漏洞在时下尤其重要。公司处于非活动期间时 ( 例如美国最近的政府停摆时 ) ,一些组织特别容易发生数据泄露。安全证书可能在非活动期间到期了,代理在此期间更虚弱更容易受到各种威胁的攻击。而且由于需要处理大量的积压工作,安全团队也无暇处理基本的安全任务。
要真正做好应对网络威胁的准备,各组织就必须开始实施由内而外的安全视图,同时要注重网络的净化。
网络核心的净化
传统上业界的公司都倾向于基于以下的假设管理网络安全:供应商的产品正常运行及产品的部署和配置是正确的。
但在验证组织的网络防御信息是否准确以及验证无间隙或错误信息方面却存在欠缺。代理商需要以连续的方式验证控件,而不是将安全性测量视为单个快照。
美国国土安全部 ( DHS ) 最近通过推广持续诊断和缓解 ( CDM https://www.dhs.gov/cdm ) 计划也在强调这方面的工作。 CDM 敦促政府机构通过持续监控达到实时了解自己的安全系统的目的。要抛弃静态的渗透测试或审计转用持续监控,因为持续监控可以在更长的时间里更全面地了解系统。如此代理商就可以针对控制是否可以保护关键资进行量化和验证。而同时,安全领导者和团队也可以使用更有意义的指标来管理自己的网络安全计划,可以推动决策的制定、优化运营并最终改善自己网络的状况。
" 由内而外 " 地看待网络安全
尽管诸如 CDM 等计划取得了一些进展,但持续监控仍需要解决方案实施的验证以及有关的数据。因此,私营公司和政府机构亟需采取以下 " 由内而外 " 的网络安全方法:
1、确定攻击生命周期里漏洞的精确点
第一个漏洞点是组织自己的人员。安全领导者应该集中精力帮助自己的团队了解团队所需保卫的网络特定部分里攻击者的行为。然后就是要通过测试事件响应过程而达到测试防御的目的。测试成员是否知道应该给谁打电话以及如何量化他们所看到的有关内容 ? 他们是否将钓鱼邮件转发给了正确的收件人 ? 安全领导者在了解了团队如何应对实践场景中的威胁后就可以确定要在哪些方面加强防御。
2、权衡网络安全投资的投资回报率
政府花纳税人的钱时需谨而慎之,企业则须确保建立与合作伙伴和客户的信任。组织必须在考虑网络安全投资时验证预期的投资回报率是可行的而不是假定预期的投资回报率是可行的,这一点尤为重要。安全领导者需要数据才能准确地显示安全漏洞位置以及要在何处做更多的投资。
3、要采取基于风险的决策而不是基于合规性的决策
传统模型在权衡网络安全有效性时倾向于采用基于孤立的和基于合规性的做法,因此网络安全措施是在不同的企业渠道中进行管理,而且重要的数据未被充分地利用。这也往往会导致 " 清单 " 心态,这可能会令公司容易受到攻击。所以要反其道而行之,网络安全必须与组织的最大风险和关键任务业务需求保持一致,要确保关键任务业务所用到的产品可以提供全面且可操作的洞察。
4、需确定哪些技术可以进行改进、哪些技术可以从堆栈中删除
网络安全人员需要管理许多产品。重要的一点是,需要验证环境里哪些产品可以运作及哪些产品不能运作。适合一家公司的解决方案可能不适合另一家公司。要确定哪些技术产品可以提供最大的价值及哪些产品适合当前的架构,如此就不会购买多余的产品。以自动方式映射安全控件也可以更轻松地标出及列出可识别的威胁。
知己知彼之知己
用由外而内的方式处理安全问题时做的是试图拒入侵于外部。而由内而外的方法则是利用基于风险的策略先确定最重要的应用程序达到保护关键任务数据的目的,而基于风险的策略则是聚焦于最有价值和最脆弱的资产。采用由内而外的方法应对网络安全不是件容易的事。但预算在不断飙升——尽管数据泄露事件还是不断发生,安全领导者必须将安全与问责挂钩。不管是政府部门还是私营部门,归根结底都是一个企业,由内而外的方法是最具商业意义的方法。