合規(guī)性不等于安全性
人們對網(wǎng)絡(luò)安全最大的誤解之一是合規(guī)性等同于全面的安全性。
人們應(yīng)該把安全合規(guī)視為一種安全演習:就像企業(yè)擁有人員疏散計劃,但并不能防止火災(zāi)一樣。諸如美國聯(lián)邦貿(mào)易委員會“保障規(guī)則”和支付卡行業(yè)(PCI)標準等法規(guī)旨在加強信息安全,這些標準確實做到了,但它們是網(wǎng)絡(luò)安全團隊應(yīng)該遵守標準法規(guī)的下限,而不是上限。
此外,日益復(fù)雜的網(wǎng)絡(luò)安全監(jiān)管環(huán)境使得依賴基于合規(guī)性的方法變得越來越不穩(wěn)定。企業(yè)可能會耗盡資源來完成年度或季度審計。一旦審計通過,自滿情緒就會出現(xiàn),而在下一個審計周期開始之前,可能出現(xiàn)新的漏洞。這種方法引入了安全漏洞,網(wǎng)絡(luò)攻擊者很快就會利用這些漏洞。
首席信息安全官需要改變這個根深蒂固且有缺陷的流程。要超越多種選項的思維模式,需要培養(yǎng)一種優(yōu)先考慮持續(xù)改進網(wǎng)絡(luò)安全防御和實踐的企業(yè)文化,而不僅僅是通過定期審計,這一轉(zhuǎn)變將構(gòu)成強大和適應(yīng)性安全態(tài)勢的基石。
所以關(guān)鍵的問題是:企業(yè)如何開始建立一種持續(xù)網(wǎng)絡(luò)改進的有效文化?這一切都始于強調(diào)實時安全實踐。
實時的安全實踐vs.定期的安全實踐
實時的安全實踐和定期的安全實踐之間的相互作用是有效的漏洞管理的核心。由于每一種實踐都有其獨特的價值主張,一個強大的網(wǎng)絡(luò)防御戰(zhàn)略必須將這兩種類型的實踐融合成一個統(tǒng)一的方法。
在這個威脅瞬息萬變的世界里,實時的安全實踐是不可或缺的。例如,端點檢測和漏洞檢測必須是正在進行的過程。它們?yōu)榫W(wǎng)絡(luò)提供發(fā)生變化的信息,在威脅出現(xiàn)時提醒企業(yè)。實時活動的失誤可能會帶來災(zāi)難:最近的勒索軟件攻擊表明,存在的漏洞可以在短短幾小時內(nèi)被利用,有時甚至更短。一個有效的實時安全系統(tǒng)提供了在漏洞被利用之前檢測和糾正漏洞所需的關(guān)鍵窗口。
另一方面,定期的安全實踐(例如滲透測試)提供了對系統(tǒng)進行壓力測試和發(fā)現(xiàn)潛在弱點的機會。不過,它們的價值不應(yīng)被夸大。滲透測試不是日常工具:它們更類似于性能評估。它們證明存在問題,但首先提醒注意問題的是持續(xù)的安全監(jiān)控。
一些首席信息安全官嚴重依賴滲透測試,誤以為它是解決網(wǎng)絡(luò)安全問題的靈丹妙藥。雖然滲透測試很有價值,但它們的設(shè)計目的并不是提供企業(yè)每天面臨的威脅的實時數(shù)據(jù)。
保持平衡是關(guān)鍵。首席信息安全官必須管理實時活動,例如監(jiān)控網(wǎng)絡(luò)流量、威脅搜索和漏洞檢測,以及例如滲透測試、風險評估和審計等定期活動。這種方法確保了全面的覆蓋,利用每個實踐的優(yōu)勢來創(chuàng)建一個環(huán)環(huán)相扣的、有彈性的網(wǎng)絡(luò)威脅防御策略。企業(yè)的目標是創(chuàng)建一個安全系統(tǒng),它不僅能夠在審計中幸存下來,而且能夠在面對現(xiàn)實世界的威脅時表現(xiàn)出色。
實時漏洞管理的緊迫性
為了建立網(wǎng)絡(luò)安全改進文化,企業(yè)必須建立有效的漏洞管理策略,該策略依賴于不斷評估潛在威脅的暴露情況,并采取主動措施減輕威脅。這一過程需要數(shù)據(jù)收集、威脅情報、風險評估和快速反應(yīng)的復(fù)雜結(jié)合。
健壯的實時漏洞管理策略以一致的監(jiān)控為基礎(chǔ)。這涉及到利用安全信息和事件管理系統(tǒng)以及端點檢測和響應(yīng)平臺來收集和分析整個網(wǎng)絡(luò)的安全數(shù)據(jù)。這些工具旨在識別可能指示潛在安全事件的異常模式或行為。它們?yōu)轫憫?yīng)網(wǎng)絡(luò)威脅的方法提供了基礎(chǔ),使企業(yè)能夠在檢測到威脅時快速響應(yīng)。
與這些系統(tǒng)相輔相成的是威脅情報饋送,它提供有關(guān)最新已知威脅和漏洞利用的數(shù)據(jù)。將威脅情報與安全信息和事件管理系統(tǒng)以及端點檢測和響應(yīng)工具集成可以增強其有效性,從而更快、更準確地檢測到威脅。
一旦檢測到威脅,企業(yè)需要進行風險評估,以確定其響應(yīng)的優(yōu)先級。并非所有漏洞都具有相同級別的風險,應(yīng)該根據(jù)潛在影響分配資源。像通用漏洞評分系統(tǒng)這樣的工具為評估漏洞的嚴重性提供了一種標準化的方法。這使得企業(yè)可以首先集中精力解決高風險漏洞,降低整體網(wǎng)絡(luò)風險。
除了通用漏洞評分系統(tǒng)之外,企業(yè)必須確保他們有快速響應(yīng)和修復(fù)檢測到的漏洞的過程。這可能涉及補丁管理系統(tǒng)以快速部署更新或事件響應(yīng)團隊以管理更復(fù)雜的威脅。
實現(xiàn)持續(xù)改進網(wǎng)絡(luò)的企業(yè)文化需要對這些先進的技術(shù)能力進行投資。它需要超越傳統(tǒng)的、以合規(guī)性為中心的思維模式,并培養(yǎng)一種主動的方法,將實時威脅檢測和響應(yīng)置于企業(yè)網(wǎng)絡(luò)戰(zhàn)略的中心。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號