本文来自微信公众号“安全牛”。
在今天的网络安全建设中,安全运营团队无疑发挥着非常重要的作用。尽管他们并不负责研发安全工具,也不直接决定企业的网络安全战略,但他们始终站在网络安全防护的第一线:部署防护工具、监控系统运行状态,并在威胁发生时进行应急响应。为了做好网络安全运营工作,安全运营团队必须充分了解现有的工作流程中存在的问题和不足,不断提升安全运营的效率。
以下总结了企业网络安全运营中常见的5种风险,并提供了应对风险的优化建议。
风险一
对MFA过度自信
过于信任多因素身份验证(MFA)是在企业中普遍存在的安全运营风险。尽管部署MFA是一种可以显著降低攻击风险的最佳实践。然而,很多安全运营人员会盲目地认为只要系统受到MFA的保护,就不会受到攻击。但是现实情况是,一些高级的攻击者经常能够找到绕过MFA的方法。
安全建议
部署MFA只是企业抵御安全攻击的基础性要求之一,而非应对攻击的“万全之策”。在此基础上,安全运营团队应该通过多种积极主动的安全策略,减低企业的违规风险。
风险二
忽视SaaS应用中的风险监控
SaaS应用非常方便,因为无需经过安全运营人员的安装或授权就可以使用它们。然而,这并不意味着安全运营团队可以忽视SaaS应用程序的安全风险。即便应用程序完全由第三方供应商管理,但其中的敏感数据泄露同样会导致企业业务面临风险。此外,第三方应用程序中难以避免会存在漏洞,如果未能在黑客攻击之前采取措施缓解它们,也可能导致业务内部遭到重大破坏。
安全建议
安全运营团队必须确保将安全监视和审计策略扩展到SaaS平台和其他第三方资源,而不仅仅是对企业网络中的应用程序和基础设施进行监管。
风险三
缺乏恢复计划
备份数据是防范勒索软件、APT等新型攻击的核心步骤之一。但是,很多企业缺乏在攻击发生后快速恢复数据、系统的计划,因此数据备份很难充分发挥效用。安全运营团队不能因为有数据备份,就认为自己不会受到攻击,这是一个错误的认知。
安全建议
为了避免这种风险,ITOps团队可以创建操作指南,准确定义如何在数据泄露后恢复数据。对数据进行盘点也很有帮助,这样就可以知道自己拥有哪些数据资产,以及哪些备份与它们相关联。这些信息可能会将数据恢复过程从原本的数周甚至数月缩短至数小时,对于大多数业务连续性标准来说,此举可谓意义重大。
风险四
不友好的密码管理要求
多年来,企业安全运营团队都认为要对所有员工执行严格的密码管理要求,用户设置的密码要尽可能复杂,并需要频繁地更新密码,这样才能确保账户的安全。这些传统的密码管理准则都是合理的。但很多应用实践表明,如果用户在管理密码非常困难,就会出现很多违规的情况,比如把密码明文写在便利贴上,这样无疑与密码管理的初衷背道而驰。
安全建议
NIST在2020年就已修订了密码应用指南,鼓励组织实施用户友好型的密码策略。安全运营团队应该尽快评估密码应用的实际效果,并制定新的管理要求。
风险五
缺乏全面的安全监控
很多安全运营团队已经认识到安全监控的重要性。但是一个常见的错误是只监视某些关键的应用和设备。例如,安全团队可能会监视应用程序和网络,以发现可能出现安全风险的异常情况。但是,如果企业不同时监控服务器、应用交付设备、API请求和存储资源,就难以实现对安全风险的整体可见性。
安全建议
避免这种错误的关键是部署全面的、全栈的安全监控工具,然后关联所有监控数据,以获得尽可能多的安全风险上下文信息。