目前,主動安全策略應用的主要問題是誤報率高、實施難度大、可管理性差,導致主動安全技術需求旺盛,但真正成功應用的項目還很有限。盡管被動安全任務的需求會長期存在,但企業應該從現在開始積極嘗試采取更積極的措施,實現更智能、更主動的安全防護策略,從而更好地保護組織的數字資產。研究人員認為,企業在應用主動安全防護策略時,應該重點關注是否具備以下8個前提條件。
1、做好資產梳理和發現
為了制定積極主動的網絡安全策略,CISO需要先了解自己有什么資產,知道什么需要最高級別的保護,并認識到組織愿意接受的風險。這可幫助CISO確定哪些威脅對組織構成最大的風險,因此需要給予最大的關注。
積極主動的網絡團隊了解本組織的風險狀況,能識別組織尚未面臨的風險。這是能夠防止攻擊發生的一個關鍵因素,因為他們知道需要保護什么對象,能全面考慮到所有薄弱環節。
CISO需要長期做好這項工作,需要持續識別風險,并深入了解貴組織的攻擊面。
2、擁有強大的身份安全措施
研究人員認為,積極主動的安全團隊不僅需要深入了解其IT環境和組織的風險狀況,還需要具有強大的身份安全管控措施,可以清晰了解對哪些用戶、哪些設備正在訪問其網絡及相關業務系統。多因素身份驗證等策略有助于確保只有授權用戶才能訪問企業IT環境,阻止非法用戶的侵入。
有許多CISO已經在落實嚴格的身份驗證要求,這也是他們向零信任架構轉變的一部分。在這種架構中,所有用戶(包括人和設備)在獲得訪問權之前必須驗證自己的身份。零信任還更進一步:它另外限制已驗證身份的用戶只能訪問他們工作所需的那些系統和數據。遵循這種最小權限原則將是安全團隊由被動響應事件轉向主動安全防御的一個標志。
3、提升快速應變能力
讓防御措施啟動在黑客發起攻擊前的另一個關鍵是,安全團隊應具有比攻擊者更快速的應變能力。為此,積極主動的安全團隊需要采用以攻擊為中心的思維,避免那些按部就班的公式化安全能力建設,不斷完善實戰化安全能力構建,學會從攻擊者的角度思考問題。網絡攻擊沒有標準模式,因此可靠的主動防御能力也是需要隨機應變的,才可以應對層出不窮的威脅。
4、持續性的安全監測
積極主動的安全策略需要對信息化運營的各種關鍵參數進行持續性的監測,及時發現可疑的行為和活動。安全團隊可以使用SaaS化的安全工具,或與托管安全服務商共同完成系統運營監測工作。這種監測可以讓安全團隊及早留意各種威脅:黑客企圖利用被欺騙的網站、被劫持的公司商標及其他形式的社會工程攻擊,從而使安全團隊有時間采取對策,最大程度遏制這些攻擊企圖。
5、主動搜尋威脅
積極主動地搜尋威脅是主動安全策略落地的一個重要因素。對安全風險的識別滯后一直是行業老大難問題,為了解決這個問題,企業安全團隊需要轉向主動搜尋威脅,在數據泄密或勒索攻擊發生之前找到潛伏在其IT環境中的惡意程序或攻擊線索,這可以從技術角度(攻擊途徑)和漏洞利用者(黑客)這兩方面來結合推斷。
據SANS2022年威脅搜尋調查顯示,85%的受訪企業表示,威脅搜尋改善了本組織的安全狀況。與此同時,專家們表示,使用機器學習和人工智可以幫助企業安全團隊更快速地發現威脅,這個比例有望進一步提高。安全專業人員可得益于機器學習識別模式和預測結果的能力,這種技術提供了前所未有的可見性。這讓網絡團隊可以迅速擴大規模,盡早識別威脅,并比以往更快地對付攻擊。
6、高效的漏洞管理計劃
高效的漏洞管理計劃可以識別組織中存在哪些已知漏洞,并優先修補風險最高的漏洞,這是形成良好安全策略的重要標志。為了保障主動安全策略的施行,安全團隊應更進一步,為漏洞管理計劃添加漏洞搜尋功能。漏洞管理計劃主要專注于解決已發現的問題,而漏洞搜尋則要求安全團隊主動發現未知的安全隱患,比如不安全的軟件代碼或其IT系統種的錯誤配置。安全專家建議,CISO應定期進行滲透測試,以找出存在的安全薄弱環節,并制定漏洞披露和懸賞計劃,以鼓勵和獎勵員工主動搜尋、發現和修復相關的漏洞問題。
7、實戰化的攻防演練
積極主動的安全團隊會定期開展實戰化的攻防演練,評估攻擊得逞后己方如何響應和應對,這種演練也可以采用沙盤演練的方式。由于演練會設想并驗證攻擊會如何發生,它們可以幫助安全團隊識別現有安全計劃的不足。然后,組織可以有針對性的縮小差距,阻止設想種的事件場景發生。攻防演練還有助于發現事件響應方案存在的不足,幫助安全團隊彌補這些不足。這種演練還可以為團隊成員建立“肌肉記憶”,一旦類似事件發生,組織可以更迅速、更高效地行動,從而將破壞降到最低。
8、防患于未然
高瞻遠矚、洞察未來很重要。積極主動的安全策略應該著眼于發現并掌握應用新興的安全技術、產品和標準;此外,應根據企業實際需求,盡快將這些新方法融入到企業安全戰略和實施計劃中。這樣可以讓安全部門在新威脅變化出現之前做好準備。比如說,很多企業已經在考慮量子計算會如何影響他們的安全計劃,確定哪些當前的安全措施會失去成效,并確定新的保護措施。積極主動的安全團隊現在應考慮所有這些問題,他們要為多年后的威脅場景提前制定路線圖。
