赫拉克利特(希腊哲学家)曾经说过:“唯一不变的就是改变。”此箴言2500年后依然正确无误。我们周围的世界一直在改变,以一种疯狂的速度在改变。信息安全领域也是如此。我们捍卫的公司,我们面对的威胁态势,都在不断发展变化。
这种持续改变的一个不太妙的副作用,就是所谓的“新奇事物综合症”。如您所想,有些公司,有些人,看起来确实就是在不断追逐闪闪发亮的新鲜事物。换句话说,不是战略性地践行安全,精准调整部署以适应所面对的风险和威胁的变化,而仅仅是不断追逐时尚。
炒作、流行词、所谓趋势,这些东西总在不断变,但良好安全项目的本质始终是不变的,我们可以专注在如何防止企业陷入“新奇事物综合症”。
以下便是供企业脚踏实地排除干扰的5大良方:
1. 坚守计划
如许多专家曾说过的,如果你还没有事件响应计划,那赶紧制定一个。如果你已经有了计划,那便在安全攻防战中领先了一步。问题在于,坚守计划,即使在情势变得有点灼热的时候。如果准备充分,且与合格的专业人士合作,终将克服万难取得胜利——只要你顶得住周围经常性的干扰诱惑和对干扰的下意识反应。
2. 专注风险
最好的安全企业会用各种技术弄清自身独特的安全态势,然后用这种认知理清想要缓解的风险和威胁的优先级。除了有助合理安排支出和更有效缓解风险,这种方法还能让企业保持专注,避免拐上追求新鲜事物的歧途。当驶往某个特定方向的诱惑出现时,企业可以评估这个新方向是否匹配既定的风险和威胁优先级列表。这样就能看清这个潜在的新方向会对企业造成什么影响,尤其是在新方向是否可能引入额外的风险方面。从这个意义上来说,理解了与企业风险缓解目标相关性的缺失,还是相当容易就能够判断出哪些东西是干扰物的。
3. 优先补漏
在安全界,入侵新技术的出现相当频繁。其中一些很得媒体青睐,当然也就引起了企业内部非安全类管理层的关注,反而给安全类负责人增添了压力。但我们对遭受攻击的主要方式,以及业内广泛流行的模式和趋势有多坚定呢?真的太容易将重要资源调离战略性优先化的日常工作,而投入到现下热炒的黑客事件上了。但若现下的干扰对企业只是极小的风险,将资源从缓解风险或修复重大漏洞上调出来,值得吗?未必!虽然对登记在册的重大风险没有量化的处理,迫于一时流行的舆论压力而调离资源也是难以站住脚的做法。
4. 看穿炒作
数年前,RSA大会厂商展厅里满是“大数据”、“安全分析”或“大数据安全分析”之类的标语。每个人都在谈论这些话题,很多人现在还在念叨。但越过迷障看本质:这又如何?你能用安全分析干点什么呢?你有需要大量人力物力和技术(包括安全分析)才能缓解的风险列表吗?比如说,识别被盗凭证,或者识别冒充合法用户的攻击者?看穿炒作,能让企业更高效地将人力、过程和技术投放到解决现实世界问题和挑战上。期待证明支出值回投资票价,不会有什么好结果。
5. 评估重点
公司上周验证了500份凭证,处理了1万个入侵检测系统警报?说真的,没人关心这些。这些指标能帮你评估自己有没有切实处理希望能缓解的重要风险和威胁吗?测出最重要的,才能让企业产出真正有助判断其战略目标进程的指标。真正关键的指标,可以让企业评估其行为(无论新旧)是否在为安全项目增加价值,能帮安全企业专注于增加价值,而不是追逐新奇事物。
信息安全世界里从来不缺少各种干扰。作为安全专业人士,需要专注于管理、缓解和最小化企业的风险,即便企业和威胁态势一直在改变。只要脚踏实地,战略性适应,增量调整;成功实现目标的机会就非常大。追着“新鲜”而胡乱改变航线,从来都不能让企业变得更安全。