影響企業(yè)安全運(yùn)營(yíng)中心運(yùn)營(yíng)五大陷阱

責(zé)任編輯:editor006

2015-01-04 17:21:42

摘自:IT168

前任美國(guó)陸軍網(wǎng)絡(luò)司令部安全運(yùn)營(yíng)中心負(fù)責(zé)人就抵御攻擊者入侵議題分享了他的經(jīng)驗(yàn)與慘痛教訓(xùn)。我們?cè)诿绹?guó)陸軍全球安全運(yùn)營(yíng)中心內(nèi)采取的方案是以集中化方式處理規(guī)劃、但以分散方式將其付諸執(zhí)行。

前任美國(guó)陸軍網(wǎng)絡(luò)司令部安全運(yùn)營(yíng)中心負(fù)責(zé)人就抵御攻擊者入侵議題分享了他的經(jīng)驗(yàn)與慘痛教訓(xùn)。“從立場(chǎng)角度出發(fā),負(fù)責(zé)運(yùn)行緊急響應(yīng)團(tuán)隊(duì)與扮演安全運(yùn)營(yíng)中心主管角色之間存在著顯著差別。我將后者稱為一種“記者席”類型的網(wǎng)絡(luò)安全視角,而這一結(jié)論源自我在美國(guó)陸軍網(wǎng)絡(luò)司令部的安全運(yùn)營(yíng)中心擔(dān)任負(fù)責(zé)人以及近來(lái)在FireHost公司擔(dān)任CSO職務(wù)時(shí)積累到的所見所聞。”

在扮演上述角色的過程中,我的任務(wù)并非承擔(dān)特定基礎(chǔ)設(shè)施的安全保障工作,但這些工作經(jīng)歷卻讓我開始意識(shí)到大部分從業(yè)者在處理安全事務(wù)時(shí)采取的都是“防御 姿態(tài)”。有鑒于此,我開始記錄下那些導(dǎo)致我的團(tuán)隊(duì)遭遇安全違規(guī)事故的本質(zhì)原由。而從這些原由當(dāng)中,我發(fā)現(xiàn)了安全運(yùn)營(yíng)中心領(lǐng)域最為常見的五大陷阱。

陷阱一:采取集中化規(guī)劃與執(zhí)行方式

為數(shù)眾多的大型跨國(guó)企業(yè)希望能夠以集中化方式實(shí)現(xiàn)安全事務(wù)的規(guī)劃與執(zhí)行。在這種情況下,無(wú)論大家向其中投入多少人工智能以及計(jì)算資源,由此帶來(lái)的大數(shù)據(jù)處理難題都不可能得到有效解決。

我們?cè)诿绹?guó)陸軍全球安全運(yùn)營(yíng)中心內(nèi)采取的方案是以集中化方式處理規(guī)劃、但以分散方式將其付諸執(zhí)行。我們的全球安全運(yùn)營(yíng)中心會(huì)根據(jù)威脅調(diào)查結(jié)果推出相應(yīng)防 御對(duì)策,但具體執(zhí)行權(quán)則被交給各區(qū)域安全運(yùn)營(yíng)中心——包括運(yùn)用這些威脅指標(biāo)并對(duì)其區(qū)域內(nèi)部安全堆棧提供的警報(bào)信息加以管理。各區(qū)域團(tuán)隊(duì)也擁有充分的靈活性 對(duì)具體安全態(tài)勢(shì)做出調(diào)整,這就確保了其能夠在必要的情況下?lián)碛懈哂谌蚧鶞?zhǔn)的針對(duì)性應(yīng)對(duì)措施。安全信息與事件管理(簡(jiǎn)稱SIEM)數(shù)據(jù)會(huì)被傳輸至全球安全 運(yùn)營(yíng)中心并作為分析素材。然而,各區(qū)域安全運(yùn)營(yíng)中心會(huì)首先對(duì)SIEM事件進(jìn)行過濾、同時(shí)清除混雜于其中的虛假警報(bào)。

陷阱二:將安全運(yùn)營(yíng)中心的任務(wù)與責(zé)任外包出去

具體來(lái)講,我曾經(jīng)親眼見證過兩大主要趨勢(shì):企業(yè)通過外包方式管理安全服務(wù)供應(yīng)商以及/或者采取離岸外包將安全運(yùn)營(yíng)中心事務(wù)交由高價(jià)值區(qū)域的合作方處理。 就其本身而言,把一部分安全運(yùn)營(yíng)中心事務(wù)交由第三方負(fù)責(zé)并不是什么大問題。其中的關(guān)鍵就在,我們絕不該把安全運(yùn)營(yíng)的相關(guān)職責(zé)移交給其它服務(wù)供應(yīng)商——這種 模式根本起不到理想中的效果。一家企業(yè)能夠也應(yīng)該將警報(bào)以及其它部分安全設(shè)備管理工作外包出去,但安全運(yùn)營(yíng)中心對(duì)于此類警報(bào)的管理能力必須牢牢掌握在內(nèi)部 團(tuán)隊(duì)手中。我懷疑這正是企業(yè)在將安全運(yùn)營(yíng)中心加以外包時(shí)希望得到的結(jié)果,但只有具備專業(yè)知識(shí)的內(nèi)部人員才有能力根據(jù)錯(cuò)誤警報(bào)采取對(duì)應(yīng)行動(dòng)、從而選擇將其忽 略或者通過重新分配實(shí)現(xiàn)成本節(jié)約戰(zhàn)略。我建議每一個(gè)安全事務(wù)團(tuán)隊(duì)都盡可能將緊急事件處理流程保留在企業(yè)內(nèi)部環(huán)境當(dāng)中。

陷阱三:堅(jiān)信單靠技術(shù)本身已經(jīng)足以提供有效的安全保障

盡管選擇正確的技術(shù)方案非常重要,但經(jīng)過良好培訓(xùn)的工作人員以及正確的技術(shù)利用方式也擁有同樣關(guān)鍵的地位。我曾經(jīng)同我自己的團(tuán)隊(duì)分享過這樣一種觀點(diǎn): “老虎伍茲能夠用我的高爾夫桿打出出色的成績(jī),但我卻沒辦法用他的球桿打出世界一流水平。”其中的核心在于,大家必須高度關(guān)注如何對(duì)安全工具加以利用、同 時(shí)依靠方法性方案對(duì)來(lái)自這些工具的處理結(jié)果進(jìn)行分析。如果我們認(rèn)真解讀過去幾年內(nèi)發(fā)生過的全部主要安全違規(guī)事故,就會(huì)發(fā)現(xiàn)大部分違規(guī)早已被技術(shù)方案檢測(cè)出 來(lái),只不過沒有合適的人員以及流程能夠及時(shí)加以解決。不要妄想利用購(gòu)買新型技術(shù)產(chǎn)品來(lái)替代員工培訓(xùn)以及流程開發(fā),這樣的戰(zhàn)略方針注定會(huì)遭受失敗。

陷阱四:把事件管理與問題管理混為一談

我拜訪過的很多安全運(yùn)營(yíng)中心——包括軍方及民用組織——都會(huì)引入大量行動(dòng),但卻沒能找到真正的執(zhí)行方向或者需要實(shí)現(xiàn)的目標(biāo)。他們擁有豐富的數(shù)據(jù)分析與開 啟支持能力,但卻沒有討論過該如何搶在威脅發(fā)生之前采取行動(dòng)并降低自身攻擊面。在我為美國(guó)軍方承擔(dān)安全管理事務(wù)之前,我曾經(jīng)擔(dān)任過CIO職務(wù)并效力于基礎(chǔ) 設(shè)施供應(yīng)商,這讓我對(duì)于大部分IT服務(wù)供應(yīng)商所采用的ITILv3框架非常熟悉。我注意到,絕大多數(shù)安全團(tuán)隊(duì)能夠?qū)崿F(xiàn)基本的突發(fā)事件管理,但卻無(wú)法真正理 解事件管理與問題管理之間的區(qū)別。

如果大家正在尋求正確的衡量指標(biāo)并進(jìn)行趨勢(shì)分析,就會(huì)清楚地認(rèn)識(shí)到安全控制與策略是在何時(shí)失去效果的。幾乎沒有多少安全團(tuán)隊(duì)能夠?yàn)榇祟惙治鎏峁┳銐虻膫鬏攷?,也正是因?yàn)槿绱?,作為威脅根源的惡意攻擊者才能利用同樣的技術(shù)、戰(zhàn)略以及規(guī)程在安全破壞活動(dòng)中取得成功。

陷阱五:對(duì)一切對(duì)象加以保護(hù)(在多數(shù)情況下,保護(hù)一切意味著毫無(wú)保護(hù))

惡意攻擊者可能只對(duì)全部數(shù)據(jù)及基礎(chǔ)設(shè)施體系中約2%內(nèi)容感興趣,但他們會(huì)利用其余98%作為跳板來(lái)獲得訪問這2%內(nèi)容的能力。一部分最具創(chuàng)新能力的 CIO拿出了自己的解決方案,這也是我目前為止見過的最為睿智的安全策略——他們將自己的網(wǎng)絡(luò)視為“有爭(zhēng)議的空間”而非被嚴(yán)密保護(hù)在堅(jiān)固城墻當(dāng)中的堡壘。 這些創(chuàng)新推動(dòng)者們會(huì)積極對(duì)自身網(wǎng)絡(luò)進(jìn)行細(xì)化拆分,并將最有價(jià)值的數(shù)據(jù)、應(yīng)用程序以及VIP用戶遷移到安全保障能力更強(qiáng)、更為可靠的基礎(chǔ)設(shè)施體系當(dāng)中。事實(shí) 上,我們的大部分客戶會(huì)把其難于保護(hù)的規(guī)范化數(shù)據(jù)及應(yīng)用程序交由強(qiáng)大的云服務(wù)供應(yīng)商負(fù)責(zé),從而保證這些關(guān)鍵性資產(chǎn)能夠得到高度專注的重視及嚴(yán)格保護(hù)。

我們?cè)谧杂邪踩\(yùn)營(yíng)工作當(dāng)中采取的另一項(xiàng)舉措在于將安全性與漏洞管理精力集中在已經(jīng)確定的“關(guān)鍵性區(qū)域”當(dāng)中。過去十年以來(lái),安全威脅的起效流程并沒有 出現(xiàn)太大的變化。一般而言,惡意攻擊者會(huì)入侵主機(jī)、提升權(quán)限,然后尋找機(jī)會(huì)對(duì)受害者的基礎(chǔ)設(shè)施加以利用、使其反過來(lái)成為攻擊用戶的武器。我們的方案則旨在 確保此類基礎(chǔ)設(shè)施,例如Active Directory、軟件分發(fā)系統(tǒng)以及其它關(guān)鍵性區(qū)域,擁有更理想的安全保障水平、并對(duì)威脅活動(dòng)進(jìn)行定期審計(jì)。

當(dāng)然,這五種常見陷阱還無(wú)法代表我們?cè)趯?shí)際工作中可能遇到的全部狀況。不過這些正是我的安全團(tuán)隊(duì)選擇重點(diǎn)投入并加以高度關(guān)注的層面。我們的目標(biāo)在于保護(hù)自己的關(guān)鍵性資產(chǎn)、在其遭受入侵時(shí)快速掌握情況并利用實(shí)時(shí)舉措對(duì)威脅加以遏制甚至是消除。如果有朋友堅(jiān)持認(rèn)為自己的目標(biāo)在于創(chuàng)建一套完美的安全環(huán)境,那么 我得先潑一盆冷水:這種方案壓根就不存在。然而,如果大家能夠利用明智的安全運(yùn)營(yíng)機(jī)制——其中集合了正確的人員、正確的流程以及正確的技術(shù)方案——盡可能 縮小受攻擊面,那么我們的這套防御體系將對(duì)惡意攻擊者的技術(shù)水平提出嚴(yán)峻挑戰(zhàn)。換句話來(lái)說,絕大部分攻擊者只能放棄嘗試,轉(zhuǎn)而尋常那些更容易對(duì)付的攻擊目 標(biāo)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)