步驟1:承認(rèn)網(wǎng)絡(luò)安全是人員問題而不是技術(shù)問題,因此需要優(yōu)先考慮
許多人表示,在計(jì)算機(jī)和網(wǎng)絡(luò)出現(xiàn)之前,網(wǎng)絡(luò)安全不是問題。就目前而言,這是事實(shí)。然而,每一次網(wǎng)絡(luò)安全攻擊都是由人類發(fā)起的,每一次緩解和響應(yīng)都是由人類實(shí)施的。除非配置防御者配置,否則系統(tǒng)不會自動采用防御措施。
這并不是貶低當(dāng)今在網(wǎng)絡(luò)安全產(chǎn)品中出現(xiàn)的重大突破。如今,很多組織采用生物識別掃描儀、行為分析和基于機(jī)器學(xué)習(xí)的系統(tǒng)檢測零日攻擊。這些確實(shí)提高了安全性。然而,人們相信,盡管采用所有這些先進(jìn)的系統(tǒng),仍然需要人工參與做出購買決策,部署并將它們集成到解決方案中。這一關(guān)鍵部分中,人類對網(wǎng)絡(luò)安全成功的投資回報(bào)率(ROI)影響最大。沒有豐富經(jīng)驗(yàn)和知識淵博的技術(shù)人員正確實(shí)施配置的防火墻或入侵防御系統(tǒng)將永遠(yuǎn)不會按預(yù)期工作。
網(wǎng)絡(luò)安全團(tuán)隊(duì)所能做出的最好的投資就是他們自己。在知識、技能和能力方面的投資將會提升他們部署的任何技術(shù)解決方案的價(jià)值。根據(jù)全球IT技能和薪資報(bào)告,人們看到全球IT技能差距的上升趨勢,特別是在網(wǎng)絡(luò)安全方面。與任何其他職能領(lǐng)域相比,決策者正在努力聘請優(yōu)秀的網(wǎng)絡(luò)安全人才。而近年來,網(wǎng)絡(luò)安全專業(yè)人員的短缺趨勢越來越嚴(yán)重。
隨著招聘和外包成為企業(yè)面臨的一項(xiàng)重大挑戰(zhàn),對人員的培訓(xùn)和投資比以往任何時(shí)候都更加重要。正如Steven Covey在其“高效人士的7個(gè)習(xí)慣”文章中所說,企業(yè)必須“工欲善其事,必先利其器。”這意味著企業(yè)可以保留并加強(qiáng)擁有的最大資產(chǎn),那就是人才。因此,建立一個(gè)成功團(tuán)隊(duì)的第一個(gè)步驟就是優(yōu)先考慮培養(yǎng)和保留人才。
步驟2:解決人為因素,以便企業(yè)的網(wǎng)絡(luò)安全思維可以在遭遇攻擊之前發(fā)展
正如人們所觀察到的,技術(shù)的生命周期隨著時(shí)間的推移而變化,網(wǎng)絡(luò)安全也不例外。隨著時(shí)間的推移,網(wǎng)絡(luò)安全思維的演變與軍事思維相似,這可能并非巧合。起初,網(wǎng)絡(luò)安全專注于強(qiáng)大的“外圍防御”,就像現(xiàn)實(shí)世界的堡壘一樣。但實(shí)際上,人們無法控制門外發(fā)生的事情,只能建造堅(jiān)固的墻(抵抗直接攻擊)。并密切檢查通過大門的任何東西。這種思維方式導(dǎo)致了防火墻(網(wǎng)絡(luò))和病毒檢查程序(計(jì)算機(jī))的成功崛起。
后來,隨著攻擊者越來越隱秘地掩蓋他們的入侵方法和目的,網(wǎng)絡(luò)安全形勢再次演變。在這種情況下,雖然對外圍攻擊和入侵的檢查仍然存在,但安全維護(hù)者承認(rèn),如果入侵者確實(shí)設(shè)法進(jìn)入安全陣地,他們就可以不受限制自由地進(jìn)入。而對策是采用“縱深防御”的理念。這種模式相當(dāng)于讓守衛(wèi)者在城堡內(nèi)的內(nèi)部各處漫游,查找任何人的異常行為。在網(wǎng)絡(luò)安全的情況下,這意味著需要在網(wǎng)絡(luò)上安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS),在服務(wù)器上安裝主機(jī)入侵檢測系統(tǒng)(HIDS)。這是一個(gè)深刻的轉(zhuǎn)變,從一維思維到二維思維,并且在捕捉更多入侵方面非常成功。現(xiàn)在,這些系統(tǒng)不僅可以檢測,還可以阻止入侵,使其成為一個(gè)強(qiáng)大入侵防御系統(tǒng)(IPS)。
最新思想涉及“零信任”網(wǎng)絡(luò)安全的理念。這個(gè)模型相當(dāng)于鎖上城堡中的所有房間,只為每個(gè)人需要的房間提供鑰匙。這種鎖定模型運(yùn)行良好,因?yàn)榧词箲{據(jù)受到損害,它也會限制暴露于最小數(shù)據(jù)和系統(tǒng)的風(fēng)險(xiǎn)。
這些都是相互依賴的強(qiáng)有力的方法。但是,它們?nèi)匀恢辉趦蓚€(gè)方面運(yùn)作(主要是技術(shù),還有一些政策)。為此建議采用更通用的方法解決問題。而成功的網(wǎng)絡(luò)安全是一個(gè)涉及人員、流程和技術(shù)的三維解決方案。成功的網(wǎng)絡(luò)安全組織會考慮這三方面因素并使其正確部署。
如上所述,其中的一個(gè)維度是技術(shù)。組織使用可用的最佳技術(shù)來解決安全問題至關(guān)重要。組織需要購買并整合各種技術(shù)中的最佳解決方案,以獲得最佳的防御措施。
但是流程這個(gè)第二個(gè)維度更為重要。如果沒有正確配置和維護(hù),那么擁有前沿入侵防御系統(tǒng)(IPS)是沒有用處的。它不能保護(hù)沒有修補(bǔ)和更新的系統(tǒng)。它當(dāng)然不能防止濫用用戶密碼和憑據(jù)。簡而言之,在技術(shù)解決方案開始發(fā)揮作用之前,必須建立流程。
最后,最重要的維度是人員。正如技術(shù)在沒有過程的情況下毫無用處一樣,如果沒有人,流程就毫無用處。人們需要適當(dāng)?shù)闹R、技能和能力才能實(shí)施和遵循流程并部署技術(shù)。因此,網(wǎng)絡(luò)安全有三個(gè)方面:人員、流程和技術(shù)。最重要的是人。
步驟3:網(wǎng)絡(luò)安全正在逐漸成為成熟的子專業(yè),專業(yè)人士應(yīng)該獲得所需的技能
例如,汽車修理行業(yè)多年來致力于實(shí)現(xiàn)專業(yè)化?,F(xiàn)在有油漆車間、變速箱車間、剎車片車間、輪胎車間等。即使客戶將汽車開到全方位服務(wù)設(shè)施或經(jīng)銷商那里,仍然有專家在那里工作。
同樣,網(wǎng)絡(luò)安全也變得越來越復(fù)雜,以至于已經(jīng)出現(xiàn)了一些子專業(yè)。在對成功實(shí)施網(wǎng)絡(luò)安全組織的分析中,在過去幾年出現(xiàn)了8個(gè)特定的專業(yè)。規(guī)模非常大的組織在這8個(gè)專業(yè)中都設(shè)置團(tuán)隊(duì)。而只有少數(shù)網(wǎng)絡(luò)安全人員的小型組織的員工只能身兼多職,或一些專業(yè)進(jìn)行外包,或者這兩方面兼而有之。
這8個(gè)專業(yè)分別是:
•架構(gòu)和政策
•數(shù)據(jù)丟失預(yù)防
•治理、風(fēng)險(xiǎn)和合規(guī)性
•身份和訪問管理
•事件響應(yīng)和法醫(yī)分析
•滲透測試
•安全DevOps
•安全的軟件開發(fā)
京公網(wǎng)安備 11010502049343號