在安全社区,或者广义上讲当代人类信息社会中,一直存在一个问题。问题就是:我们一直将安全看作是一种技术、策略、隐私,或者人力问题,而不是一个综合集成的组合。无论如何,尽管我们制定了诸多的标准、法律,创造了最佳范例,尝过了经验教训,也产生了新技术,我们却一直在践行深度防御上走在了错误的道路上。
我们仍然将安全视为IT问题,依然把风险和合规当成日常文书工作。我们的整个组织中缺乏真正的安全氛围。我们仍旧认为有入侵检测系统(IDS)、安全信息和事件管理(SIEM)和反病毒软件就够了。我们还觉得审计、合规和运营中心分层的服务台方法就是深度防御的全部,尤其这些工作都处于一种各自为政的企业文化下。
如果我们真心想改善今天的安全状况,就要采取措施改变人们看待、定义和处理这些安全问题的态度和方法。下面的十种方法,可以帮助改善我们的分层防御策略:
1. 设立首席安全风险官(CSRO)职位
应当设立CSRO职位,作为公司负责所有安全和风险事务的独立首脑,直接向CEO、董事会和政务官员等汇报。
涉及内容可能包括突发事件、人身安全和物理安全问题、隐私问题,以及网络安全问题。传统的首席信息安全官(CISO)、首席安全官(CSO)、副首席信息官(deputy CIO)或安全总监在当前态势下已经不能发挥效用。这一角色不应归为首席财务官(CFO)、首席运营官(COO)、首席信息官(CIO)和首席技术官(CTO)的下属,但可以代替CISO、CSO和首席风险官(CRO)之类的角色。
2. 组建CSRO团队
我们应当组建一支在首席安全风险官(CSRO)及其副手领导下的权威的跨职能团队,作为公司所有安全和风险问题决策、响应协调、问责、领导和策略实施的唯一权威机构。
这一团队至少每周要有一次例会,还得有细致恰当的章程确保每名团队成员都对团队有投票权,并且获得组织内部最高层的书面授权。团队应当也必须包含至少下列类型的主题专家(SME)成员:
高级IT安全SMEs
高级法律顾问代表
高级隐私官
高级人力资源代表。
高级审计和财务代表(来自组织内部的CFO/COO部门)
高级物理安全和人身安全经理/SME
高级项目经理和运营管理代表
高级技术工程师
合适的业务领域/数据/信息/系统业主(根据需要)
关键外部合伙人、供应商和客户利益相关者(根据需要)
3. 采用积极防御战略
总体战略中必须包含以积极防御的形式呈现的攻击性元素。这不是说需要直接攻击那些假想敌。不过,确实需要蜜罐、无恶意的木马和其他方法去研究攻击者,获取可信的特征,增加威慑力或使敌对方的努力化为泡影也是可行且应该采用的方法。此外,直接攻击应该留给现实世界中有既有管辖权的家伙们干,比如军队、情报机构和执法部门。
4. 实施深度防御
开放系统互连(OSI)模型的全部层级,加上人员层,都必须纳入组织的深度防御方法中来。
比如,网络级入侵检测系统(IDS)和入侵防御系统(IPS)、网页内容过滤、网站应用防火墙、恶意软件分析工具、漏洞分析工具、带数据泄露防护(DLP)的主机级IPS、电子取证工具、闲时加解密,以及传输工具、巡回工具、SIEM和机器数据挖掘工具等,从应用层防护直到物理层防护都应该装上。手机应用和数据安全,带服务等级协议(SLA)的云安全和无线保护也应该包括进来。
5. 及时调整
通过每日、每周、每月的调整提升安全基准是必要的。在经常使用的基础上学习轻量级目录访问协议(LDAP)、简单网络管理协议(SNMP)、域名服务系统(DNS)、超文本传输协议(HTTP)和其他你网络中出现的流量。观察管理员帐户行为,知晓你的访问控制实践,而不仅仅是写在纸上的章程。另外,为需要或要求各种不同类型软件的业务单位建立起一套请求流程和变动控制程序。
保证安全测试、评估和分析,检测与锁定部署在组织内部资产上的主机镜像以预防用户安装未经授权的软件。锁定特定组织里非正常行为远比对着长长的信息技术基础设施库(ITIL)故障清单去处理仪表板上弹出的一个个IDS/IPS和SIEM警告要简单得多。
事实上,全部资源投入到研究组织内部的动态行为上远比浪费在追逐警告和产生故障清单数据要好得多。
6. 用好白名单和黑名单
这需要定好基准底线,但同样需要主动的全球恶意软件分析。应该从其他很多组织的事后报告中研究攻击指示器、威胁情报和事件,而不仅仅局限于你所在的组织。然后,将研究成果应用于组织中不断发展的安全基准中。
7. 建立漏洞管理和补丁管理程序
将网络的所有部分——所有硬件、软件和用户组,打散嵌入到每日、每周、每两周或每月一次的任务计划表中。这样一来,所有部分至少每90天就能被扫描一遍,给最新的漏洞打上补丁。
为每个部分建立一张联系人列表,负责解决已发现的漏洞和失效的补丁。这样至少可以创建一个将测试和弥补漏洞当成常态的合作氛围,而不仅仅是合规操作或审计等等。
8. 建立协同工作环境
将在办公室里充分利用在线和虚拟渗透测试、恶意软件分析和取证工具、网站、实验室等当成常态,而不是例外情况。为你的团队建立一套每周在不同领域交叉培训的机制。
打造一支组织团队参与全球性的攻防竞赛和组织内部的类似竞赛。建立内部百科和培训课程,让弟兄们可以每周或者每月互相学习。
这样就能在预算不足以支持飞去参加各大会议和常规培训的时候也能让你的现有员工继续成长了。最好的团队是成员间相互合作且能交叉培训共同成长的团队。这对团队散布各地且各部门间职能分散的大型组织而言尤其重要。让协同合作的文化成为常态,而不仅仅是一个小插曲。
9. 留出成长和成功的机会
领导经验、培训和首要与次要职责之间的位置转换对个人而言通常很重要,而且长期来看公司也是稳赚不赔的。这一条实施起来与上面第8条类似,不过这一次,交叉训练要在非技术人员间展开。这将进一步使你的技术人员和非技术人员在其他首要与次要职责领域进行交叉培训以获取新的技能,进一步建立一种相互尊重、交叉提高和经常性交流的协同合作氛围。
10. 保持警醒
最后,即使你觉得万事ok,至少应该每年两次雇外人实际地或者通过网络对你的组织进行评估、渗透和审计。这样你的组织才会从门卫到高层都保持警醒。