面向初学者的网络安全(二)(2)https://developer.aliyun.com/article/1507726
十四、当事情出错时该怎么办。
在本章中,我们涵盖了:
- 安全事件与事故之间的区别
- 安全事件管理
- 何时升级
你可能注意到本章标题中使用了‘when’而不是‘if’事情出错。
统计上不太可能相信任何规模的组织永远不会遭受任何形式的入侵、恶意软件或其他损害其数字设备并需要修复的材料。尽管现实如此,一些组织选择把头埋在沙子里,相信否认是一个潜在的解决方案。
根据 PWC 为英国商务和创新部门进行的 2014 年调查,只有 73%的大型组织承认他们在过去一年中遭受了病毒或恶意软件感染。那么其他 27%到底发生了什么?他们是否有很好的安全实践或者检测率很低?统计上,他们很可能检测率低。
鉴于网络安全漏洞将会发生的必然性,对于每个企业来说,在事情出错之前都有一个称为安全事件管理的流程是至关重要的。即使是只有一个安全人员的组织也需要有一本指南来在发生事情时遵循。
拥有一个牢固、可靠的处理安全事件的流程对于减少其成本和影响以及缩短中断持续时间至关重要。清理这些事件所需的流程和能力被称为安全事件和事件管理,或称为 SIEM。
安全事件与事件管理(SIEM)
首先了解安全事件和安全事件之间的区别是很有用的。
| 安全事件 - 用于描述被认为是无意的数字领域的轻微干扰的术语。 例子包括单个故障设备或单个用户忘记密码。 安全事件的不寻常模式可能是安全事件的指示器。安全事件 - 有意的损坏、盗窃和/或未经授权的访问,对组织的任何重要部分的信息、系统、设备、服务或产品产生直接或间接影响。 |
监控安全事件可以为制定安全改进提供有用信息。安全事件也是安全事件检测过程的重要情报来源。
检测和报告事件(违规或其他有意的侵入)是安全事件生命周期的第一步。
安全事件可能会造成巨额损失,显著干扰组织的业务运作,并造成品牌损害。早期和有效的事件管理有助于减轻这种影响的严重性(时间和成本)。
有效的安全事件管理要求在发生事件时能够激活适当的流程和具有必要技能的事件响应团队。
需要确保安全事件响应团队明确定义并定期测试此流程。如果没有一个准备充分且经过测试的安全事件流程,任何攻击或其他妥协的成本和影响将大大增加。
作为一个设计良好的安全事件管理流程的一部分,确保明确定义参与流程的人员的角色和责任至关重要。这意味着不仅要定义安全事件响应者的角色,还要定义与流程关键的所有其他角色。如果某人(如外部顾问或来自其他内部团队的工作人员)被召集来帮助安全事件响应者,他们需要在能够发挥作用之前明确其具体责任。
安全事件流程包括五个关键的生命周期阶段(如果包括建立流程的需求则为六个)。这些阶段最好总结为:
- 检测和报告。
- 验证。
- 隔离(也称为隔离)。
- 清理(缓解和恢复)。
- 复审(分析模式和流程缺陷)。
一些框架,包括 NIST,将这些阶段描述为检测、响应和恢复。
检测和报告
组织内的人员需要知道如何将任何疑似或确认的事件报告到安全事件流程中。事件应能够直接通过手动渠道触发。
可疑模式或安全事件的集中应自动触发事件。
直到报告事件并触发事件响应流程之前,违规造成的损害将持续。
一旦有潜在事件报告,就必须为其分配初始优先级。在事件进行过程中,随着额外信息的出现,此优先级可能会发生变化。
通常,事件响应流程将提供一个包含 4 至 7 个优先级选项的简要列表。每个优先级水平都需要具有明确易懂的标准。毕竟,在一些组织中,某些事件如果不加以修复,可能每分钟就会造成数百万美元的损失,而其他事件则可能根本没有或几乎没有财务影响。
选择特定事件的优先级通常由以下因素决定:潜在的财务影响和/或受影响的人员和/或客户数量,他们受到的影响程度以及涉及的数据或服务的敏感性。
如果一个安全事件只影响十个低价值系统上的用户,那么影响将远远小于它影响数百、数千甚至数百万人的业务关键系统。低价值、低用户的系统可能可以允许短时间下线。相反,许多企业不能承受某些系统完全没有停机时间。想想航空公司或酒店预订系统,或拍卖和房地产网站。即使是几秒钟或几分钟的中断也可能导致巨大的财务损失。
在分配优先级时,同样重要的是要注意考虑不仅是眼前的事件,还有更广泛的影响。例如,如果我在一个小型系统上发现了恶意软件感染,可能仍然需要为其分配一个优先级类别,如果在验证阶段确定问题可能迅速传播到攻击面的更高价值部分。
明确定义的优先级也将帮助响应者确定安全事件何时需要升级。如果预计安全事件将导致重大业务中断,或者因为无法在正常容忍度内管理事件,则可以在事件发生期间的任何时候将其升级到管理层。
设置优先级水平还将定义完成每个未完成阶段所允许的目标时间。如果某个阶段的允许时间超过了,或者安全事件经理预计时间将超过,这应该导致事件被升级并标记为警报状态。
| 警报状态 - 可以分配给安全事件的升级标志,以指示其无法在组织的安全流程中管理在允许的时间限制或其他可接受的容忍度内。 |
验证
一旦潜在事件报告到流程中,安全事件响应者(在本书的较早章节中描述的角色)将需要验证事件是否真实,并进一步对其分类。
正如本书前面所讨论的,可以使用明确定义的类别和多项选择列表来帮助加快事件响应过程。这意味着网络安全人员不仅应该对事件进行分类,还应该尽可能多地收集有关组织的关键部分(站点、服务和产品)和攻击面(设备、系统、应用程序、数据、网络段)的信息。
美国计算机应急响应团队(US CERT)为安全事件定义了六个类别。这些是:
- 未经授权的访问。
- 拒绝服务。
- 恶意代码(包括恶意软件)。
- 不当使用。
- 未遂入侵。
- 调查。
组织的具体流程可能对这些类别有不同的标签。如果一个事件涉及多个类别,这将是重要的信息需要收集和解决。
第六类别(调查)主要是一个占位符,用来指示事件的原因和影响仍在研究中。
在第八章(技术网络安全)中,我们讨论了主要网络攻击的典型生命周期。我们之前也讨论过,问题被早期发现,修复成本就会更低。虽然预防比事件管理更便宜,但同样也是事实,攻击或入侵生命周期中问题被早期发现,修复成本也会更低。因此,一个被称为杀伤链的概念经常被用来帮助事件团队了解问题被检测到生命周期的多远。
| 杀伤链 - 一个概念上的网络防御模型,使用攻击结构作为建立网络防御策略的模型。典型的高级持续性威胁的阶段通常被用作框架,考虑到每个阶段的网络防御策略(检测、拒绝、干扰、降级、欺骗、遏制)。该模型基于这样一个前提:在生命周期中攻击越早被检测到和击败,产生的成本和损害就越低。这个模型可以作为防御策略的一个有用的附属品,但也存在固有的缺陷;例如,它在应用于防御范围之外的信息时效果最好,但在应用于内部组织网络时效果较差。然而,该模型非常成功地强调了当网络攻击在网络攻击生命周期的早期被识别时,处理它们的成本要低得多。这个相同的模型也在事件管理中使用,以确定攻击的进展程度,以帮助经理确定可能的成本和击败它的策略。 |
安全事件响应者还可能召集相关学科的专家来帮助管理事件。重要的是提前达成协议,以确保这些专家在需要时可用于将其添加到事件响应团队中。
隔离(隔离)
如果确认发生了事件,必须隔离受影响的组件以最小化影响并防止数字景观的其他部分受到影响。
这可能是事件响应过程中的一个棘手步骤,因为重要的是要平衡组织继续运行和提供服务的需求与违规的潜在成本和影响。
正如外科医生必须小心地精确限制他或她切割的身体组织的数量一样,事件响应者努力精确和谨慎地隔离受影响的数字组件,以最小化系统中断并最大化组织范围的支持以响应事件。如果网络分割和冗余系统已经存在,则事件响应团队更容易减少业务中断的程度。
如果无法避免对运营的干扰,那么有必要提前准备好明确定义的沟通和通知程序,以便依赖受影响的系统或设备的人员能够立即并简洁地得到通知,并估计恢复其服务所需的时间。
在可能的情况下,应首先通知或咨询关键企业流程的管理者。未能及时与受影响的管理者商议可能会给安全响应团队带来不愉快的后果。
还应该预料到安全事件通常会被任何攻击者故意安排在正常工作时间之外发生。
清理
一旦确定了原因和受影响的组件,事件响应团队就需要能够迅速调用具有专业知识的人员来清理和恢复这些组件。
在某些情况下,可能无法立即清理和恢复组件到原样。这使得团队必须包含,或者能够紧急访问,能够识别临时解决方案的专家,以便在受影响的组件本身得到修复之前采取替代解决方案。在此阶段,适当访问业务连续性和灾难恢复计划可能至关重要。
在清理阶段的另一个关键考虑因素是确保保留可能在将来的调查中需要的任何证据。可能需要涉及数字取证专家来捕获所有必要信息,以在事件之后追踪、证明过失或起诉攻击者。
再次强调,有必要在事件响应过程中定义何时需要保留证据的标准,尽管事件响应团队仍可能需要数字取证专家的帮助或建议,这些专家可能是公司员工或外部顾问。
审查
一旦即时事件得到解决,总是建议进一步查看发生了什么,无论是在事件还是过程层面。
这样的审查涉及到提出诸如:这种事件是否可能发生在其他类似的组件上?它是否是一个更大的模式的一部分?是否需要采取额外的即时步骤来保护数字环境?
过程运作如何?有效吗?是否有任何过长的地方?角色和责任是否定义得足够清晰?是否有任何需要作为改进过程的教训?
任何事后响应审查最终都会分析事件响应过程的各个部分,即定义安全事件和事故如何优先处理和升级的部分,是否运作良好或应该进行修改。这需要了解在建立这些优先级和升级标准时考虑了哪些因素。
由于响应安全事件非常重要,拥有全面、设计良好且经过充分测试的事件响应流程对于成功的网络安全至关重要。
同样重要的是,必须确保参与组织功能的人员知道如何向正确的部门或个人报告潜在事件,以触发安全事件流程。
记住,据报道,在任何客户数据被窃取之前,Target 收到了一条反恶意软件警报。如果确实发生了这种情况,并且警报触发了适当的事件响应流程,那么潜在地数据泄露可能已经被阻止了。
十五、对未来的一瞥
在第一章我们谈到了技术变化的速度不仅是有史以来最快的,而且正在加速。
了解技术将如何继续发展对网络安全规划可能是有帮助的。
随着我们对技术的使用增加和成熟,更广泛地了解预期变化可以极大地帮助人们制定个人和专业的网络安全战略。
这一章我们将看看未来十年甚至更长时间里将变得更加普及的趋势和新技术。关于这些预测的正确与否绝对没有确定性。然而,许多近期的预测已经开始出现,或者基于持续了几十年的模式。
关于技术最令人惊讶的事情是,我们不再需要考虑某件事是否可能。现在几乎可以创造任何东西。与其考虑某事是否可行,现在唯一真正的问题是——‘它能赚钱吗?’
利润、收益和权力的诱惑将继续是技术进步的主要推动力。
我们可以从一些简单的预测开始:
- 电子信息的数量将继续迅速增长。
- 存储和处理电子数据的成本将继续下降。
- 计算机处理能力的数量将继续按照摩尔定律增长。
- 显示屏将变得视觉上更大、更灵活和更沉浸式。
- 我们使用的可以相互连接的设备数量将增加。
- 技术将继续减少对物理空间的需求。
- 动力源(包括电池)将变得更加紧凑,充电速度将更快。
| 摩尔定律——由戈登·E·摩尔于 1965 年创立。它表明,在计算机的历史上,计算机的处理能力大约每两年翻一番。 |
还有一个非常重要的潜在趋势需要考虑。这涉及到公司盈利方式的变化。
所有人都在思考如何创造价值连城的服务流,从而产生来自相同客户的重复业务的定期收入,而不是销售一次性产品或服务。曾经是一次性产品购买的物品越来越多地成为保证持续收入的订阅服务。
任何组织能够更接近他们的客户,他们就能更好地学习如何将这些服务的销售扩展到新的领域。这意味着两件事:
组织希望增加他们存储和分析的关于客户的信息量。
这些组织希望利用这些客户信息将当前的物理产品转变为订阅服务。
例如,与其支付冰箱和冷冻库的费用,也许只要你签署一份订阅协议,就可以免费获得这些设备,并由特定超市自动供应和送货基本产品(牛奶、黄油、奶酪、火腿、橙汁等),每当这些物品快用完时。
冰箱的协议可能允许它跟踪这些物品,包括剩余量、使用量、产品过期时间,几乎可以确定你还选择了哪些其他物品要送货。为了增加收入机会,订阅服务可能还会包括一个显示屏,以促销其他它可以合理确定你会感兴趣的物品。
他们也很可能会提供更低的订阅价格,如果你同意他们收集并出售关于你的信息。
自从我在第一版中包含了这个例子以来,这些类型的冰箱已经问世;然而就在几年前,许多人仍然认为它们还有很长的路要走。研究人员一致认为,我们现在采用新技术的速度呈指数增长。当电力首次被发现时,它花了许多十年才成为大多数家庭采用的可用资源。然而,第一款有效的智能手机只花了 3 到 4 年就被大众广泛采用。
将电子设备放入我们可能的任何东西现在被称为物联网(IoT)。
| 物联网(IoT)- 将电子设备整合到日常物品中,使它们能够与其他网络设备进行网络(通信)的过程。 |
有家用恒温器可以接受远程指令来调节温度,并能检测你是否在家。这些设备可能与其他家电通信,让它们知道你是否在家;例如,恒温器可能会与照明系统通信,以便在晚上打开灯光作为防盗措施,或者可能会告诉烘干机在经济模式下运行,因为没有人急需衣物。
简单来说,物联网的基础是电子设备能够连接到其他电子设备和互联网上可能有一些价值的想法。
随着事物的变化,会有早期采用者、晚期采用者以及频繁尝试那些荒谬且永远不会成功的新技术。每年在拉斯维加斯的消费电子展(CES)上,都会展示成千上万种新的小工具。只有少数几个会取得成功。
随着技术能力价格持续下降,越来越多的设备将连接到互联网。随着我们开始携带、穿戴和安置更多连接设备,我们可以预期这些设备将受到各种组织和人员的攻击,无论是好是坏。
可穿戴技术也将不断发展。为什么要把计算机放在夹克里?嗯,如果你可以随时扫描和更改面料颜色,或者将袖子用作手机接收任何消息的显示器,那将会很有用。
刚刚推出的新设备之一包括一台家用 3D 食品打印机。放入一些小的配料卡,选择你想要的甜点,食品打印机将立即为你制作。只需打印出来并上菜。将这个设备放在物联网上有潜力让它下载新食谱,并监视你最喜欢的东西,然后建议你可能喜欢的其他东西。
我们已经拥有智能电视,它们本身就是完全功能的计算机;事实上,在某些方面它们更加先进。在我写这本书的第一版时,有一家制造商发出警告,称在他们的智能电视前进行的对话可能会被记录下来,自动转换为文本,并发送给制造商,以帮助改进他们的语音命令服务!
如果你认为在电脑或平板上看到定向广告很烦人,那么等到那些广告显示屏开始在你走过时专门为你展示广告时,你就会感到更加不安了。想象一下在地铁扶梯上升时,看到前方的广告正在推广你一直在研究的假期。
另一个即将发生的深刻变化是向所谓的增强现实迈进。
| 增强现实 - 将虚拟数字信息层叠到现实世界视图上。数字层似乎可能与现实世界互动,但影响仅限于影响沉浸在体验中的用户(或用户)的视角。这与虚拟现实不同,其中沉浸的用户只能感知完全人工的世界。能够映射和理解物体和表面,然后似乎允许数字投影与现实世界物体互动的增强现实的高级版本被称为混合现实。 |
在实际应用中,增强现实允许一个人戴上一副可以将三维图像投影到真实空间的眼镜。你不再需要智能手机上的屏幕或计算机上的显示器,甚至不需要客厅里的电视屏幕。使用增强现实的人可以在任何选择的地方召唤任何大小或形状的物体,包括大屏幕和三维投影,而无需所有这些(和其他)物理工具。
使用传感器,这些增强现实设备还可以让人们与那些虚拟对象互动。例如,一名医生可以调出一个三维医学图像,并用双手操纵它,使其变大或变小,旋转,甚至放大并检查不同部分和角度。
增强现实的家庭用户可以在网页上看到一个物体,然后将其真实空间中的三维版本放置在那里,以查看其外观。
在 2017 年,当我描述这一点时,大多数人认为这项技术还需要几年时间才能问世。 然后,他们尝试了一款已经问世的设备,比如微软的 HoloLens,意识到这项技术将在短短几年内成为主流。
同样,自动驾驶汽车将彻底改变我们使用交通工具的方式。 大多数人在 95%的时间里都没有使用自己的车。 如果您可以立即预订一辆车送到您家门口,为什么还要拥有自己的车呢? 您可以让它把您送到您想要的地方,而不用担心停车和维护成本。 您还可以选择在车上享用一杯饮料。 您将可以按分钟、小时和英里使用一辆车,而不是支付和拥有整辆汽车。 这种类型的服务,没有司机的成本,凭借技术的支持,很可能会非常便宜,以至于很快就几乎不会比您目前支付的燃料费用更多。
然而,这也意味着无论你订阅哪家汽车服务,都将知道你去哪里,何时去那里,以及你与谁和什么一起出行,等等。 几乎可以肯定,它将试图向您显示定向广告,或者在您旅行期间为您提供赞助机会(在此停留,享受餐费 5 折优惠)。
你可能认为自动驾驶汽车需要很长时间才能普及。 然而,自动驾驶技术已经证明在遇到致命事故方面比人类驾驶安全 20 倍(按英里计算)。 到 2020 年,大多数城市已经有了大规模的自动驾驶车队支持。
健康也受益于技术进步。 许多人已经使用各种设备监控我们的健康,诊断医疗问题或改善我们的健康状况。 我的生命已经被一台由外科医生操作的机器人(达芬奇机器人)所拯救,该机器人能够进行访问和微创技术,而这是人手无法到达的部位。
然而,健康技术将越来越多地改变目前需要专业医疗设施进行的测试和程序,变成更低成本、更快速和更安全的选择,通常会在家中提供。 例如,现在有一些马桶可以在排泄时分析其中的内容,并在早期提供对从糖尿病到某些癌症形式的各种医疗状况的警报。
然后是纳米技术。
| 纳米技术 - 通过操纵原子和分子大小的物品制造的令人难以置信的小型产品和设备。 |
从进行非侵入性手术,到提高电池性能,甚至增强人类力量和耐久性,以如此极小的尺寸制造、传递和控制技术的能力创造了更多可能性。忘记矫正眼科手术;在不久的将来,你可能能够在眼睛上涂抹正确的纳米技术集合,不仅获得完美视力,还能够放大远处的物体,记录你所看到的内容,甚至叠加计算机显示。
所有这些进步也意味着将会产生更多关于我们所有人的电子数据,并且将可供越来越多的人和组织访问。
在过去的 40 年里,降低电子信息存储成本和存储物理尺寸,同时增加访问速度的进展是不可思议的。为了让这更具体化,如果你想把整部莎士比亚作品(仅文本)存储在电子存储设备上,那么所需的电子存储(约 4 兆字节)在 1978 年大约需要花费 4000 美元。如今,你可以以不到一美分的价格存储它。
一整个普通印刷图书馆的扫描内容已经可以存储在几张 2TB 的 SD 卡上,大小不超过你的指甲盖。
没有人曾想过我们会找到所有数据存储容量的用途。他们错了。随着我们存储内容的能力变得更便宜更容易,内容的深度也变得更大。例如,数字摄影的目标曾经是 1100 万像素,因为那相当于传统照片可以达到的质量。现在,数字相机可以超过这一分辨率的很大倍数。
我们的数据存储需求大约每 2 年翻一番。我们访问信息的速度也在遵循类似的曲线。如果你认为现在你有很多信息要处理,那么请期待在未来十年内至少要处理十倍的信息量。
收集和使用大量数据可以赋予组织极大的权力。他们可以用它更好地定位客户,发现新的收入机会,并确定可以降低成本的领域。
更多数据量和更多类型的数据增加了需要保护的表面积,也打开了新的潜在威胁和利用。
这些变化意味着我们可以预期数据窃取的尝试将变得更快更频繁。攻击不再需要持续数小时或数天才能产生重大影响。
如果你回想起最初和那个你认为免费下载的谦逊智能手机应用,实际上支付范围可能从“慷慨”的应用供应商向你发送付费广告,到将你的私人信息收入他们的文件中,很可能是为了定向营销目的。
同样的模式将通过与我们花费最多资金的相关主流实践越来越明显,包括健康、食品、交通、安全和娱乐。 你可以预期会出现越来越多的旨在将产品转变为有吸引力、盈利的服务,并(还)收集数据的技术。
除了扩大来自客户群体的订单外,组织还专注于降低运营成本。 因此,技术也朝这个方向发展。
语音识别程序变得越来越智能。 它们已经开始取代一些语音电话处理(呼叫中心)服务。 除了成本之外的一个优势是,计算机语音系统可以用几乎任何语言进行通信。
十年后很可能不会有很多呼叫中心有真人接电话,而且你很快可能就不知道你是在与一个人还是一个计算机程序打交道。
如果你曾经参加过与非英语为母语的人进行的国际电话或视频会议,不用担心。 在未来十年内,即使你们两个都不会说对方的语言,也将有可能与某人进行实时对话。
技术发展的速度也对我们选择采纳它的速度有一定影响。 尽管电视机的发展迅速,但我们中很少有人愿意每三年更换最新功能的成本。 汽车和大多数家庭固定装置也存在类似的情况。
我们最快采用的技术往往是易耗品、廉价或者提供了超过其成本的实质价值的技术。
如果有人为我提供一个订阅免费的智能冰箱,我可能会报名,但如果他们要价 500 美元,我可能会坚持使用我现有的,直到它坏掉为止。
这意味着我们可以预期可穿戴的、易消耗的物品将继续快速发展,而高价值的物品将以较慢的速度发展。
我今天口袋里的手机可能在短时间内就会被嵌入我的手表和看不见的耳饰中,但我可能在相当多年内不会使用无人驾驶汽车服务满足我的所有交通需求。
所有这些变化也会影响就业市场。 即使是需要高技能人才的工作,比如普通医生,需求也会减少,因为随着技术越来越能够提供更快、更有效和更低成本的替代方案。 对医生的需求肯定会继续存在,但一个医疗情况必须在诊断和治疗阶段达到一定程度之前,一个人可能需要参与。
如果我们考虑技术变化将带来的近期影响,网络安全将面临新的挑战和扩展。作为一个物种,我们通过尝试大量选择来进化。大多数失败,有些成功。我们在保护技术方面的前进也是如此。
成为流行并具有足够安全性和保护性以可靠使用的技术将持续存在。那些未能识别其市场和安全需求的技术将被淘汰。
未来几年将发生的一件事是,通过这种消耗过程,组织安全性将得到加强。那些网络安全屡遭破坏的组织将失去客户,而那些避免大规模数据泄露的组织将获得客户。
自第一版问世以来,网络攻击已经更多地转向针对家庭和个人(安全性往往较弱)的方向。这也将创造新的网络安全市场。
总结未来十年可能发生的事情,预计将不断面对新技术和设备。预计数据量和数据位置将继续增加。
展望未来,许多人都在思考人工智能和一个被称为“奇点”的时间点。
| 奇点(the singularity)- 预测的人工智能超越人类智能的时间点。 |
在人工智能成为现实之前,仍有许多未解决的问题需要解决。在那之前,可能会发生的事情涉及人与技术之间日益增加的融合程度。
人们已经可以获得智能的人工肢体、眼睛和耳朵,通常通过连接的电子设备来发送或接收来自人脑的信息。这被称为湿式布线。
| 湿式布线 - 在人类神经系统和数字设备之间创建连接。 |
未来可能会使电子信息可访问于人类大脑。例如,如果你要去意大利度假,与其通过外部翻译设备交谈,也许能够通过将语言“加载”到大脑直接访问的设备中来理解和说意大利语会更有趣。
尽管这些技术在未来还有很长的路要走,但人们可能会越来越多地尝试将技术与生物学融合。毕竟,如果你可以拥有人工制造的器官,那么技术的边界和生物学的起点可能不会有太多限制。如果阿尔茨海默病患者的衰退脑细胞被合成纳米技术替代,那会改变这个个体是谁吗?
这是一个哲学观点,我在这本书中无法希望接近。
对于我们的网络安全目标而言,主要考虑因素是变化的速度将会继续增加。会有更多的数据,分布在更多的地方,需要考虑和保护的技术也会更多。
正如希腊哲学家赫拉克利特所说:“唯一不变的就是变化本身。”
当我可以用纳米技术涂抹墙壁,让我随心所欲地改变它们的颜色时,我知道总有一天我可能回到家发现我的墙壁已经被黑客入侵,显示出一些非常糟糕的内容。
十六、综合起来
你会开着一辆完全没有刹车的汽车四处行驶吗?
可能不会,但是当人们和组织开始在没有充分评估其风险并没有采取适当的防御控制措施的情况下,使用技术进行关键活动时,他们经常会参与类似的行为。
在某些情况下,人们不会解决这些风险,因为他们认为有效的网络安全几乎是不可能实现的。
现实是,实现实质性的保护是非常可能的。
不幸的是,大量和严重的网络入侵表明很少有个人和组织正在采取必要的步骤来实现这种保护。日复一日,新的网络攻击和入侵损害着组织和个人,包括:
- 对技术的入侵或干扰
- 电子信息(数据)的盗窃或篡改
其中一些攻击成为头条新闻,有些可能会影响到你或我;例如,如果你的信用卡或密码信息在被盗数据中。
成功的攻击通常发生是因为使用数字系统的人和组织对如何管理他们的技术和电子信息所承担的风险几乎一无所知。
网络安全的目的是通过合理手段保护重要技术和数据。实现这一目标需要采用一个结构化的方法,利用本书中涵盖的所有关键流程。这要求识别关键技术和数据集,分析其固有风险,并根据其价值适当保护。
如果你经营一家大型连锁店,你可能无法阻止所有盗窃,但你可以采取措施确保盗窃最小化,并且在一次事件中只能盗取少量商品。网络安全也是如此。
每家企业都应该预期(并计划)遇到并管理成功的入侵。然而,确保适当的防御、检测和纠正措施层次降低这些事件发生的可能性和影响也至关重要。
记住,网络攻击者具有与历史上驱使犯罪行为的相同犯罪动机。实际上,没有新的犯罪行为;只有实施这些犯罪行为的新方法。
正如涉及盗窃的犯罪历来通过锁、警卫、保险箱和安全标签来预防一样,也有预防措施来保护数字设备和数据。
如果采取正确的积极措施,大多数网络攻击是可以预防的。
如果我们回顾不同的案例研究,就会发现一个明显的模式,表明每当一个组织不能或不会提供全面、连贯和明智的安全状态视图时,个别风险链就会形成,并为实质性的网络入侵创造理想条件。
许多大型组织仍然没有控制他们的安全情况这一事实通常是在广为人知的数据泄露或服务中断事件发生后才会显露出来。
然而,安全改进是由安全漏洞(被动措施)驱动的情况反映出对任何组织或其高管来说是一种不可取的、不安全的状态。对于安全框架来说,提供一个积极、联系紧密且了解充分的业务风险情况以及有效的可行解决方案要好得多(而且成本更低)。
组织对安全的放松态度与遭受大规模网络安全漏洞的可能性之间存在相关性。对于大型组织,这种相关性接近 1.0,这意味着这些变量 100%的时间同时发生。
理解风险并实施适当的积极安全措施至关重要,因为重大的安全漏洞可能导致(i)巨大的成本(ii)许多人事业的终结和(iii)大量信息的丢失。
实现适当保护的第一步是让组织的决策者有动力改善安全。一旦他们有了动力,他们可以:
- 理解差距
- 设计安全
- 实施
- 重复
适用于那些有动力并准备实施的人的正确全面的安全控制措施是随时可用的。
然而,我们所有人面临的最大威胁是我们典型的人类自满。我们的自然倾向是看待个别组件,并抵制将我们的安全状况整体、了解充分和联系紧密的视图汇总在一起所固有的困难。但只有通过整体把握大局,我们才能理解哪些个别任务、风险和行动最为重要。
随着我们接近本书的结尾,让我们回顾一下我们对网络安全有效方法中的关键要素所学到的内容。
- 最关键的因素是高管(董事会层面)对安全正确投资的支持。这需要向高管呈现证据,以便清晰理解组织风险暴露的规模和范围。
- 准备和呈现一个业务案例,将关于组织脆弱性的风险评估信息转化为传达潜在业务影响的语言是很重要的。
- 业务案例与基于对组织主要目标和目标的理解相一致是至关重要的。
- 安全必须在其对业务运营和业务目标的财务相关性的背景下提出,以获得高管支持。
- 安全治理结构需要被定义并落实。这不仅包括政策和程序,还包括指导安全指导委员会如何运作以及升级流程的标准,包括事故和风险管理流程,以引起高管层的关注。
- 确保定义了健壮的网络安全架构,并且它跨越内部网络,覆盖所有企业信息流动的地点。
- 威胁景观(威胁格局)应在规划阶段早期考虑。这包括回答谁可能有动机攻击组织的问题。安全姿态应反映数字资产的吸引力以及对各种敌对组织可能有多大动机来定位这些资产的理解。
- 数字资产应根据其商业价值进行优先级、分类和清点。例如,业务所有者应被要求对其信息库进行分类,以了解哪些数据集需要最高程度的安全控制。
- 建立有效防御的基础需要识别主要的业务关键信息资产,并在数字设备和信息流动的通信渠道上放置适当的控制。
- 每组重要信息必须有一个确定的业务所有者。每个所有者必须能够访问和使用一个简单的流程来对信息的规模、敏感性、重要性和潜在的业务影响进行分类。这需要捕获关于数据量、机密性、完整性、可用性、同意要求、用户数量以及业务、财务、产品和服务依赖的一致信息。
- 在与业务决策者协商后,网络安全团队应删除或销毁价值不大或低的数据。在违规事件中泄露的大部分尴尬数据是无意保留的,并且包含的风险价值超过了其利益。谁需要保留 10 年的电子邮件?律师建议客户,通过过度保留电子邮件通常会损失更多而不是获得更多。
- 对技术目标进行适当和定期的风险评估,包括:
- 应用程序。
- 硬件设备。
- 其他数据存储位置。
- 网络安全。
- 通过其技术提供服务的供应商。
- 将攻击面缩小到满足业务需求的最小适当尺寸。这包括为任何敏感资产和信息定义安全架构。
- 使用安全架构师来帮助简化网络防御点的范围。
- 将攻击面划分为反映其交易信息的价值和敏感性的离散段。对最高价值区域应用最高安全性。
- 在所有携带、存储或交易信息的设备上使用最新的“下一代”反恶意软件。
- 实施强大的用户访问控制措施,其基础是按照提供人们所需最低特权的方式进行操作。
- 采用一致、健壮且可管理的身份和访问管理策略,将允许您从单一点快速改进访问控制。
- 及时为所有设备和操作系统打补丁,使用来自制造商的最新安全更新。
- 部署其他关键的技术对策,例如在关键位置使用具有强大策略的高级防火墙。
- 确保所有应用程序、系统和物理设备的安全设置处于适当高的水平,并移除所有默认帐户。
- 但最重要的是——记住,防御深度需要对安全采取全面的视角。物理安全、程序控制和文化条件是最重要和最成功攻击的关键因素。
了解组织的目的和业务目标。
现今组织对技术的极端依赖以及任何重大违规事件的即时成本是推动网络安全成为所有首席执行官头三大考虑因素的因素。这是因为如果组织的关键运营系统或其中包含的数据受到损害,组织就无法有效运作。其影响不仅包括即时的业务中断,还包括法律、品牌和恢复成本。
有效管理网络安全需要花时间了解企业如何赚取收入以及这如何转化为向客户提供的产品和服务。这将使得不同组件的价值、功能和优先级得以考虑。
每个组织的情况和前景都是不同的。确保安全的具体方法将取决于许多因素,包括:
i)业务性质。
组织提供的产品、服务和信息的敏感性越高,安全性就需要越强。电子信息或服务的价值越高,它就越具有吸引力。
ii)组织的规模和其风险偏好。
企业越大,其决策者了解遗漏风险和拥有强大安全姿态的好处就越大。这是因为大型组织没有适当的安全措施就无法长期生存。没有投资于网络安全并多次遭受违规事件的大型组织将被摧毁或被收购。较小的组织往往具有较大的风险偏好。这是因为(i)它们的价值和规模使它们(在过去)不太可能成为目标(ii)如果它们失败,它们损失较小,(iii)如果它们成功,它们能够承担更多的风险,这是它们更大的竞争对手无法承担的。
iii)企业的文化和历史。
在员工中培养强烈忠诚和积极情感的公司不太可能受到内部威胁的影响。然而,如果一个企业没有任何重大影响来自网络攻击的历史,这可能导致高管的自满和更高的大规模安全漏洞的可能性,这将导致未来重大网络攻击。因此,网络安全专业人员让高管意识到这种自满的存在是很重要的,因为对安全投资的抵制总是由于未告知高管不解决安全问题的业务后果。
如上所述,一个组织的性质强烈影响其安全风险和需求。这意味着(i)技术对入侵的吸引力越大 +(ii)规模越大 +(iii)安全漏洞越大 =(iv)组织遭受网络攻击的可能性越大。
付款卡系统、知识产权和组织在互联网上提供的服务都是网络攻击者的高价值目标的例子。企业拥有的这些越多,每个系统拥有的记录越多,安全姿态就需要越强。
无论组织的情况如何,网络安全专业人员理解并根据业务需求提出安全投资的必要性是很重要的。
网络安全是一门学科
仍然有许多组织决策者认为一个人可以在没有支持的情况下管理网络安全。这是不可能的。
这个主题包含太多不同的领域,发展速度太快,无法由一个人管理和配置资源。
此外,记住爱德华·斯诺登效应。如果一个人拥有太多的信任访问或控制,组织就会面临风险。
网络安全经理、网络安全架构师、网络安全分析员、渗透测试员、安全事件响应人员以及防火墙和入侵检测配置人员都是单个大型组织中需要具备并实施足够网络安全措施的 30 多种不同、具体角色和技能集的例子。对于许多组织来说,从专门的安全服务公司采购这些技能可能比雇佣某人更有意义。就像一个组织可能没有专职电工或管道工一样,它可以从外部供应商那里获取服务;例如,渗透测试或安全审计,用于特定任务。
有效的网络安全需要团队合作。它还需要比任何一个人都能获取和维护的知识更多。
防御深度
大多数关于网络安全的文本都专注于技术和即时程序控制,包括:
- 用户访问控制
- 反恶意软件
- 安全配置
- 防火墙、入侵检测和预防管理工具
- 加密
- 补丁管理
- 技术安全架构
- 主动安全监控警报,用于检测端口扫描和其他妥协指标所显示的模式
- 在使用或升级之前,对所有面向互联网的应用程序进行渗透测试
- …
重要的是要明白,虽然所有这些措施都非常重要,但也需要其他传统的安全层:
- 有效的风险捕捉和管理流程
- 安全事件和事件管理
- 业务连续性和灾难恢复准备工作
- 物理安全
- 安全意识培训
- …
应该考虑所有能够帮助保护信息的技术、程序和人为因素层。
创建一个全面、知情和连接的网络安全视图
网络安全的关键在于创建一个全面的、连接的和风险知情的方法,该方法与高管制定的业务战略和目标保持一致。
要创建一个全面而连接的安全风险视图并不像看起来那么困难;事实上,有大量的框架和平台可用于帮助完成此过程。深入审查 ISACA COBIT 和/或 COSO 框架将是一个很好的起点,以获得指导。
同样,包括 AdaptiveGRC(我设计的一个)在内的平台提供了一个简单的方法,可以从现成的一套同步流程开始进行进一步的完善。这些框架允许网络安全经理将所有流程、风险和纠正信息汇总到一个同步的数据源中,以便更容易地进行管理和优先处理。
当保险公司为一个企业制定网络安全保险政策价格时,他们的计算通常会考虑这些指标:
- 该组织有多少漏洞?
- 其防御措施有多强大?
- 其数字资产有多有吸引力和有可能盈利?
- 攻击者有多有动机针对该组织?
如果一个组织对这些因素有着知情且准确的理解,有适当的防御措施且没有大规模数据泄露的历史,那么它未来遭受数据泄露的可能性就会大大降低,因此保险费率也会降低。
总结
应该明确的是,我们都越来越依赖数字技术。现在,几乎我们使用的每一个产品和服务都以它们为基础,甚至包括我们委托我们的安全和生命的产品和服务。
越来越多地将这些技术纳入产品和服务的趋势正在快速发展。
这一事实越来越明显地表明,我们不能仅通过试图保护数字网络来解决网络安全问题。
特别是,日常产品越来越多地连接到互联网上。已经有一半以上的数据使用是通过移动设备进行的。随着物联网变得更加普遍,我们所依赖的技术将被整合到更多种类的设备和通信类型中。
这将使得有效的安全性变得更加重要。
大多数网络攻击过去都集中在入侵组织上。但随着组织更加善于保护其数字资产,我们发现个人使用的技术现在更频繁地成为攻击目标。大多数个人设备的安全性非常糟糕。未来,我们应该期待家庭网络安全变得更加复杂,因为攻击者开发新的方式来通过侵入人们的家庭系统获取权力和获取金钱。
目前,大多数组织的安全措施都太过不足,容易被轻易破坏。这使得提高对组织负责的数字资产和电子数据的保护成为一项优先任务。
从案例研究可以明显看出,被入侵的组织一直缺乏全面、连贯和明智的风险视角。
了解攻击模式的趋势和技术使用的变化也很重要:
- 移动技术占据了一半以上的数据使用量,并且正在增加。
- 期待新形式的恶意软件能够绕过许多防御层,增加对有效防御的依赖。
- 积极监控外部威胁的变化,并相应改进防御。
网络安全是通过防止他们的电子设备被破坏或损害来保护组织和最终人民的,
过多的安全措施可能会使电子环境对组织的客户、供应商和员工使用起来不太吸引人或难以使用。但安全措施太少则很容易削弱对品牌或企业的信心。
技术现在是任何企业的支柱。就像我们为个人保护采取合理的步骤一样,网络安全专业人员和企业所有者也必须采取合理的步骤来保护对他们所服务的组织的运营和生存至关重要的电子数据和数字设备。
如果不能信任和依赖我们的关键技术,我们的组织就无法继续运营、提供服务、保留客户和产生收入,或者(对非营利组织来说)证明机构的价值和存在的合理性。
没有任何网络安全措施可以做到百分之百的防护。(总有一个比你聪明的白痴存在!)然而,采用包括技术、程序和物理控制在内的防御性深度策略,同时创建信息资产、安全控制、风险和漏洞的连贯视图,可以确保任何问题都能够最小化、孤立和管理。
如果你喜欢这个标题,推荐接下来阅读的书是
网络安全揭秘:网络安全规则
造成网络犯罪大幅增加的原因是什么?
是否有一套可以应用来击败它的原则?
了解区块链和增强现实的危险。
面向初学者的网络安全(二)(4)https://developer.aliyun.com/article/1507732
