基于多年来积累的洞察力丰富经验,Global Knowledge推出了一个卓越的网络安全组织的最佳实践模型,使其研究知识和经验能够应对并验证数百个各种规模的组织。在研究世界级网络安全组织时,发现了成功的网络安全组织似乎有着几个共同的关键特征。那么组织如何建立一个成功的网络安全团队呢?
步骤1:承认网络安全是人员问题而不是技术问题,因此需要优先考虑
许多人表示,在计算机和网络出现之前,网络安全不是问题。就目前而言,这是事实。然而,每一次网络安全攻击都是由人类发起的,每一次缓解和响应都是由人类实施的。除非配置防御者配置,否则系统不会自动采用防御措施。
这并不是贬低当今在网络安全产品中出现的重大突破。如今,很多组织采用生物识别扫描仪、行为分析和基于机器学习的系统检测零日攻击。这些确实提高了安全性。然而,人们相信,尽管采用所有这些先进的系统,仍然需要人工参与做出购买决策,部署并将它们集成到解决方案中。这一关键部分中,人类对网络安全成功的投资回报率(ROI)影响最大。没有丰富经验和知识渊博的技术人员正确实施配置的防火墙或入侵防御系统将永远不会按预期工作。
网络安全团队所能做出的最好的投资就是他们自己。在知识、技能和能力方面的投资将会提升他们部署的任何技术解决方案的价值。根据全球IT技能和薪资报告,人们看到全球IT技能差距的上升趋势,特别是在网络安全方面。与任何其他职能领域相比,决策者正在努力聘请优秀的网络安全人才。而近年来,网络安全专业人员的短缺趋势越来越严重。
随着招聘和外包成为企业面临的一项重大挑战,对人员的培训和投资比以往任何时候都更加重要。正如Steven Covey在其“高效人士的7个习惯”文章中所说,企业必须“工欲善其事,必先利其器。”这意味着企业可以保留并加强拥有的最大资产,那就是人才。因此,建立一个成功团队的第一个步骤就是优先考虑培养和保留人才。
步骤2:解决人为因素,以便企业的网络安全思维可以在遭遇攻击之前发展
正如人们所观察到的,技术的生命周期随着时间的推移而变化,网络安全也不例外。随着时间的推移,网络安全思维的演变与军事思维相似,这可能并非巧合。起初,网络安全专注于强大的“外围防御”,就像现实世界的堡垒一样。但实际上,人们无法控制门外发生的事情,只能建造坚固的墙(抵抗直接攻击)。并密切检查通过大门的任何东西。这种思维方式导致了防火墙(网络)和病毒检查程序(计算机)的成功崛起。
后来,随着攻击者越来越隐秘地掩盖他们的入侵方法和目的,网络安全形势再次演变。在这种情况下,虽然对外围攻击和入侵的检查仍然存在,但安全维护者承认,如果入侵者确实设法进入安全阵地,他们就可以不受限制自由地进入。而对策是采用“纵深防御”的理念。这种模式相当于让守卫者在城堡内的内部各处漫游,查找任何人的异常行为。在网络安全的情况下,这意味着需要在网络上安装网络入侵检测系统(NIDS),在服务器上安装主机入侵检测系统(HIDS)。这是一个深刻的转变,从一维思维到二维思维,并且在捕捉更多入侵方面非常成功。现在,这些系统不仅可以检测,还可以阻止入侵,使其成为一个强大入侵防御系统(IPS)。
最新思想涉及“零信任”网络安全的理念。这个模型相当于锁上城堡中的所有房间,只为每个人需要的房间提供钥匙。这种锁定模型运行良好,因为即使凭据受到损害,它也会限制暴露于最小数据和系统的风险。
这些都是相互依赖的强有力的方法。但是,它们仍然只在两个方面运作(主要是技术,还有一些政策)。为此建议采用更通用的方法解决问题。而成功的网络安全是一个涉及人员、流程和技术的三维解决方案。成功的网络安全组织会考虑这三方面因素并使其正确部署。
如上所述,其中的一个维度是技术。组织使用可用的最佳技术来解决安全问题至关重要。组织需要购买并整合各种技术中的最佳解决方案,以获得最佳的防御措施。
但是流程这个第二个维度更为重要。如果没有正确配置和维护,那么拥有前沿入侵防御系统(IPS)是没有用处的。它不能保护没有修补和更新的系统。它当然不能防止滥用用户密码和凭据。简而言之,在技术解决方案开始发挥作用之前,必须建立流程。
最后,最重要的维度是人员。正如技术在没有过程的情况下毫无用处一样,如果没有人,流程就毫无用处。人们需要适当的知识、技能和能力才能实施和遵循流程并部署技术。因此,网络安全有三个方面:人员、流程和技术。最重要的是人。
步骤3:网络安全正在逐渐成为成熟的子专业,专业人士应该获得所需的技能
例如,汽车修理行业多年来致力于实现专业化。现在有油漆车间、变速箱车间、刹车片车间、轮胎车间等。即使客户将汽车开到全方位服务设施或经销商那里,仍然有专家在那里工作。
同样,网络安全也变得越来越复杂,以至于已经出现了一些子专业。在对成功实施网络安全组织的分析中,在过去几年出现了8个特定的专业。规模非常大的组织在这8个专业中都设置团队。而只有少数网络安全人员的小型组织的员工只能身兼多职,或一些专业进行外包,或者这两方面兼而有之。
这8个专业分别是:
- 架构和政策
- 数据丢失预防
- 治理、风险和合规性
- 身份和访问管理
- 事件响应和法医分析
- 渗透测试
- 安全DevOps
- 安全的软件开发