如何构建网络安全策略
组织面临着对其信息系统和数据的诸多威胁。了解网络安全的所有基本要素是攻克这些威胁的第一步。
网络安全是确保信息的完整性、保密性和可用性(ICA)的实践。它代表了防御和从诸如硬盘驱动器故障或断电等事故中恢复的能力,以及抵御敌人攻击的能力。后者包括从脚本kiddies到黑客和能够执行高级持久威胁(advanced persistent threats, apt)的犯罪组织,他们对企业构成严重威胁。业务连续性和灾难恢复计划对于网络安全的重要性不亚于应用程序和网络安全。
整个企业都应该把安全放在首位,并由高级管理层授权。我们现在所处的信息世界的脆弱性,也需要强有力的网络安全控制。管理层应该确保所有系统都按照一定的安全标准构建,并对员工进行适当的培训。例如,所有代码都有bug,其中一些bug是安全缺陷。毕竟,开发人员只是人。
安全培训
在任何网络安全计划中,人总是最薄弱的环节。培训开发人员如何安全编码,培训运营人员如何优先考虑强大的安全态势,培训终端用户如何识别钓鱼邮件和社会工程攻击——网络安全始于意识。
所有公司都会遭遇某种形式的网络攻击,即使有强有力的控制措施。攻击者总是会利用最薄弱的环节,许多攻击很容易通过执行基本的安全任务来预防,这些任务有时被称为“网络卫生”。“外科医生如果不先洗手,就永远不会进入手术室。同样,企业有责任履行网络安全保护的基本要素,例如维护强大的身份验证实践,不将敏感数据存储在可以公开访问的地方。
然而,一个好的网络安全战略需要超越这些基础。老练的黑客可以绕过大多数防御,而对于大多数公司来说,攻击面(攻击者进入系统的方式或“载体”的数量)正在扩大。例如,信息和物理世界正在融合,犯罪分子和民族国家间谍现在威胁着ICA的网络物理系统,比如汽车、发电厂、医疗设备,甚至是你的物联网冰箱。类似地,云计算的趋势,将您自己的设备(BYOD)策略带到工作场所,以及蓬勃发展的物联网(IoT)带来了新的挑战。捍卫这些体系从未像现在这样重要。
令网络安全更加复杂的是围绕消费者隐私的监管环境。遵守严格的监管框架,如欧盟的《一般数据保护条例》(GDPR),还需要新的角色来确保组织满足GDPR和其他条例的隐私和安全要求。
因此,对网络安全专业人士的需求日益增长,使得招聘人员难以用合格的候选人填补职位空缺。这种斗争要求组织对风险最大的领域给予高度关注。
网络安全的种类
网络安全的范围是广泛的。核心领域如下所述,任何良好的网络安全战略都应该考虑到这一切。
1. 关键基础设施
关键的基础设施包括社会所依赖的网络物理系统,涵盖电网、水净化、交通信号灯和医院。例如,将一座发电厂接入互联网,就容易受到网络攻击。对于负责关键基础设施的组织,解决方案是执行尽职调查,以保护了解漏洞并防范它们。其他人应该评估对他们所依赖的关键基础设施的攻击可能会如何影响他们,然后制定应急计划。
2. 网络安全
网络安全防范未经授权的入侵以及怀有恶意的内部人士,确保网络安全常常需要权衡利弊。例如,访问控制(如额外登录)可能是必要的,但会降低工作效率。
用于监控网络安全的工具会生成大量数据,以至于经常会错过有效的警报。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来实时标记异常流量和警告威胁。
3. 云安全
企业进军云计算为安全带来了新的挑战。例如,2017年几乎每周都有来自配置不良的云实例的数据泄露。云提供商正在创建新的安全工具,以帮助企业用户更好地保护他们的数据,但底线仍然存在:当涉及网络安全时,向云转移并不是执行尽职调查的万灵药。
4. App 保护
应用程序安全(AppSec),尤其是web应用程序安全,已经成为最薄弱的技术攻击点,但是很少有组织能够完全缓解OWASP十大web漏洞。AppSec从安全编码实践开始,应该通过模糊化和渗透测试加以增强。
快速的应用程序开发和云部署已经将DevOps看作是一门新的学科。DevOps团队通常优先考虑业务需求而不是安全性,考虑到威胁的扩散,这个重点可能会发生变化。
5. 物联网(IoT)安全
物联网指的是各种各样的关键和非关键网络物理系统,如家用电器、传感器、打印机和安全摄像头。物联网设备往往处于不安全状态,提供的安全补丁很少甚至没有,这不仅对它们的用户构成威胁,也对互联网上的其他人构成威胁,因为这些设备往往发现自己是僵尸网络的一部分。这给家庭用户和社会带来了极大的安全挑战。
网络威胁的种类
常见的网络威胁大致可分为三类:
下面描述了这些攻击的执行方法。
1. 社会工程
如果攻击者能够攻击人类,他们就不会攻击计算机。社会工程恶意软件,通常用于发送勒索软件,是攻击的头号方法(不是缓冲区溢出,错误配置,或先进的利用)。最终用户被骗运行特洛伊木马程序,通常来自他们信任并经常访问的网站。持续的用户教育是对抗这种攻击的最佳对策。
2. 钓鱼式攻击
有时候,盗取某人密码的最好方法就是欺骗他们,让他们透露自己的密码。即使是受过良好安全训练的聪明用户,也可能会受到钓鱼攻击。这就是为什么最好的防御是双因素身份验证(2FA)——如果存在第二个因素,例如硬件安全令牌或用户手机上的软令牌身份验证应用程序,被盗密码对攻击者来说毫无价值。
3. 未修补的软件
如果攻击者对您部署了零日攻击,就很难责怪您的企业,但是修补失败看起来很像没有执行的尽职调查。如果在一个漏洞被暴露数月或数年之后,您的企业还没有应用该安全补丁,那么您可能会被指控疏忽大意。再次强调补丁的重要性。
4. 社交媒体的威胁
钓鱼不仅仅是为了约会。可信的马甲账户可以通过你的LinkedIn网络慢慢渗透。如果一个认识你100个专业联系人的人开始谈论你的工作,你会觉得奇怪吗?信口开河会使船沉没。期待社交媒体的间谍活动,包括工业间谍和民族国家间谍。
5. 先进的持续威胁
说到民族国家的敌人,你的企业有他们。如果多个apt在您的公司网络上玩捉迷藏,不要感到惊讶。如果您在任何地方正在做一些对某人来说非常有趣的事情,那么您需要考虑针对复杂apt的安全姿态。这一点在技术领域体现得最为明显,因为这个行业拥有丰富的宝贵知识产权,许多罪犯和国家都会毫不犹豫地去窃取。
网络安全的职业
实施强有力的网络安全战略需要你有合适的人选。从高层到前线的安全工程师,对专业网络安全人员的需求从未像现在这样高。随着保护公司数据成为企业至关重要的任务,安全部门的领导人已经挤进了高管层和董事会。首席安全官(CSO)或首席信息安全官(CISO)现在是任何正规企业都必须拥有的核心管理职位。
角色也变得更加专业化。多面手安全分析师的时代正在迅速消逝。今天,渗透测试人员可能会关注应用程序安全、网络安全或钓鱼用户来测试安全意识。事件响应可能24/7随叫随到。以下角色是任何安全团队的基础配置。
1. CISO /方案
CISO是一个c级管理人员,负责监督组织的IT安全部门和相关人员的操作。CISO指导和管理策略、操作和预算,以保护组织的信息资产。
2. 安全分析师
也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师,这个角色通常有以下职责:
3. 安全架构师
一个好的信息安全架构师横跨业务和技术领域。虽然不同行业的角色在细节上可能有所不同,但是高级职员的角色是负责计划、分析、设计、配置、测试、实现、维护和支持组织的计算机和网络安全基础设施。这需要全面了解业务,了解其技术和信息需求。
4. 安全工程师
安全工程师站在保护公司资产免受威胁的第一线。这份工作需要很强的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位。它的重点是IT基础设施中的质量控制。这包括设计、构建和保护可伸缩的、安全的和健壮的系统;负责运营数据中心系统和网络;协助本组织了解先进的网络威胁;并帮助制定保护这些网络的策略。