面向初学者的网络安全(一)(1)https://developer.aliyun.com/article/1507740
三、案例研究 - 2013 年的 Target
| 组织: | Target(美国零售商) |
| 违规日期: | 2013 年 11 月 27 日 - 2013 年 12 月 15 日 |
| 发现日期: | 2013 年 12 月 15 日 |
| 披露日期: | 2013 年 12 月 18 日 |
| 违规性质: | 客户信息泄露,包括信用卡号码。 |
| 违规规模: | 40 至 70 万客户记录。 |
| 影响: | 预计给 Target 带来超过 2 亿美元的损失,以及品牌受损和短期收入下降。首席执行官和首席信息官都被解雇了。 |
总结:
一个供暖、通风和空调(HVAC)分包商获得了远程访问 Target 网络的权限,目的是远程监控其店内的 HVAC 系统。
供应商的准入凭证的副本被盗。 分析人员认为,窃贼使用了一个僵尸网络(一种恶意软件)来获取这些身份和密码凭证。
没有人立即发现了这次盗窃。
黑客使用被盗的凭证访问了 Target 网络。
然后,他们利用供应商凭证提供的网络访问权限来访问包含对销售点付款系统的访问权限的网络部分(网络段)。
在被攻击之后,darkreading.com 披露微软曾经发布了一份关于 Target IT 基础设施的案例研究,可在互联网上获得,包括命名该公司正在使用的微软设备管理软件。 没有人知道黑客是否参考了这项研究来帮助策划攻击。 但调查人员认为,黑客使用了这种设备管理软件在处理信用卡支付的某些销售点设备上分发另一种类型的恶意软件。
这种恶意软件隐藏在一旁,同时使用伪装的文件将信用卡数据详细信息记录并传递出 Target 网络。
Target 最近安装的 FireEye 恶意软件检测系统在 11 月底就引发了安全警报,并通知了 Target 总部。 但由于某种原因,当时没有立即采取行动。 这在安全圈中被称为未能触发足够的事件响应。
黑客使用了在 Target 网络之外的劫持服务器从外部交接点检索被窃取的数据。
被盗的信用卡详细信息出现在黑市上出售,出现在专门出售被盗信息的网站上。
美国司法部于 12 月 15 日通知了 Target 关于违规事件的情况,并且 Target 立即采取了纠正措施。
黑客的访问点在同一天被关闭,一旦 Target 能够评估影响并确认问题已得到解决,就于 12 月 18 日向公众通报。
根本原因:
在这一系列事件中,存在许多控制措施,这些控制措施要么缺失,要么不足够。 列举这些控制措施是我可以做的事情,但是对于我们的目的,我们应该专注于主要的根本原因。
- 每个人都期望并依赖于别人的控制措施在自己的措施失败时起作用。这是‘深度防御’实施不当的一个缺点;您可能认为自己的安全层或‘部分’不足以成为重大故障点。当警报被触发时,没有触发有效的响应流程。
- 安全、风险和预算文化是以资产和独立视角为重点的;没有人充分考虑到所有这些‘小’风险如何堆叠在一起形成这样规模的问题的大(企业)图景。(请参阅本书后面关于‘堆叠风险’的章节。)
- 存在的安全控制和流程通常被设置为满足当前的最低安全需求和标准。这些标准通常没有及时更新以应对不断发展的威胁。它们通常只能防范几年来一直存在的问题。例如,Target 通过了一些针对支付卡行业数据安全标准(PCI DSS)的评估并不意味着安全姿态足够。
这些因素汇聚在一起,形成了一个包含大量潜在漏洞的安全姿态。
感谢 Target,他们实施了有效的反恶意软件措施。如果反恶意软件团队的警报报告得到正确响应,可能就能阻止入侵。
可能有大约 50 种不同的安全控制措施可以阻止或大幅减少这次入侵的持续时间和规模。其中一些安全控制选项不存在,而那些存在的(例如,事件响应)未能充分运作。
值得注意的是,每次重大网络入侵并非瞬间发生。通常,今天发生的入侵是在一段时间内发生的。这一点可以从大多数入侵并非发生在特定日期、特定时间这一事实得到证明;相反,它们被报告为发生在某个特定月份或跨越数个月甚至数年。Target、Home Depot、NSA(爱德华·斯诺登)、索尼、莫萨克·方塞卡、Myspace、雅虎 - 你可以列举出入侵事件并查看持续时间,你会发现这些事件都涉及一段时间。
正确理解这一点非常重要。在我的经验中,当您的网络安全遭到侵犯时,以下情况总是成立:
- 许多防御控制措施(不仅仅是一个)未能到位或未能有效。
- 一个或多个人错误估计了涉及的风险。
- 一个或多个人要么没有迅速响应警报,要么不知道如何触发警报流程。
通常也会有第四类情况(但并非总是如此):
如果遭遇的入侵是组织的首次重大网络入侵,高级管理团队可能会错误地选择不报告事件并且不迅速采取正确的对策。这是一个严重的错误,会导致更大的损失。这种第四个错误在 Target 公司并没有发生。一旦 Target 公司的高级管理人员被告知,事件就得到了正确处理。
如果在恶意软件被首次检测到时就开始应急响应,分析人员认为网络犯罪分子就不可能成功外泄信息。
| 外泄 - 以足够秘密性搬移东西,使得不易被察觉。用来描述将窃取的数据在不被检测系统察觉的情况下悄悄搬移。 |
四、网络安全中的学科
作为我们下一个案例研究的基础,现在是一个好时机来看看网络安全中的学科。
一个常见的误解是,黑客的能力,或者说入侵计算机系统的能力,等同于进行网络安全的能力。尽管进行道德黑客攻击的能力是一种有价值的技能,但单凭这一点并不能等同于保护环境的能力。
犯罪黑客只需要找到一个弱点就能成功。另一方面,有效的网络安全需要确保每一个重要的潜在弱点都得到解决。
不同的数字系统需要不同类型和数量的网络安全措施。对于一个想要保护自己账户和设备的私人个体来说,网络安全相对简单,可以包括简单的步骤,比如:
- 始终为每个有价值的账户保持不同、复杂的密码,每个密码超过 12 个字符。
- 保持设备更新到最新的软件补丁。
- 安装最有效的反恶意软件。
- 将安装软件的能力限制在一个单独的账户上。(这样当大多数类型的意外或恶意软件尝试安装时,会提供一个可拒绝的密码提示)。
- 避免浏览未知网站或打开未知链接和附件。
- …
然而,随着需要保护的环境规模增加,资产的多样性和规模也在增加。因此,需要具有不同技能的专家来保护这些多样化的资产。需要保护的环境越复杂,所需的技能清单就越长。这就是为什么像大型组织中发现的那样复杂的数字环境需要一系列网络安全专家。
如果你想设计、建造和装修一座大型新房子,并且想做得很好,那么你很可能需要使用一组具有不同技能的人。如果你使用合适的专业人员组合,你更有可能得到最好的房子。
例如,一位建筑师可以设计一座伟大的房子,但如果让他或她在建筑工地上当建筑工人,那么投资的任何资金都可能得不到真正的价值。
同样,如果让一名电工设计你的房子,最终的产品可能不会那么出色。
网络安全比建筑更复杂。它也是一个更新的学科领域,发展速度比任何其他学科都快。
至少在建筑方面,我们有着几千年的共同经验。
但在网络安全领域,跟上去年的问题可能意味着你的知识仍然过时。想象一下如果建筑方法变化得那么快会导致的混乱和成长痛苦。
网络安全领域的变化速度在生活的许多方面都是一个真正的问题。多年前,人们期望成年人对生活了解更多。但是如今,在许多家庭中,当涉及到技术时,这种关系已经颠倒过来了。在许多家庭中,孩子掌控技术,因为他们更能够理解和跟上变化,胜过他们的父母。
技术变化的惊人速度甚至导致了新的与数字技术相关的智力测量方法的出现。长期以来,智力一直是根据一个称为智商(IQ)的标尺来衡量的。现在出现了一种称为数字商数(DQ)的测量方法,用于衡量与技术相关的智力。
你可以在网上找到测试来衡量你的 DQ。
2014 年由英国通信监管机构 Ofcom 进行的一项关于数字智力的研究发现,平均中年成年人在 DQ 测试中得分约为 96 分。而平均六岁的孩子得分为 98 分。
他们可能还在学习左右,但现在一般孩子对技术的了解可能比一般成年人更多。
这种变化速度在一定程度上促使人们认识到网络安全需要被认定为一个独立的学科。由于网络安全是一个复杂的主题领域,处于不断变化之中,需要从业者具备各种不同技能的混合,并且需要经常进行创新和修改,因此网络安全确实符合被广泛接受的定义中对于什么构成一门学科的标准——即专业人士将这一知识体系应用于他们的工作中。
像其他学科一样,网络安全不能仅靠一个人或一个角色来实现。你不会期望进入一家医院只看到一个人能做所有的事情。外科医生、医院管理人员、护士和清洁工是非常不同的角色,但是对于一个正常运作的医院来说,它们都是至关重要的。即使在外科领域内,一个心脏外科医生也不太可能对复杂的脑部手术了解很多。
在网络安全领域内也是如此。
还有一些组织希望能够招募一人来负责所有的网络安全职能。我的建议是网络安全专业人士应避免这些职位。那些尝试的人通常因雇主的不切实际期望而遭受高度压力,接着几乎肯定会失败。
对于像建筑这样的事物,一个人可能需要多年时间才能获得多种技能的融合,使他或她能够建造一座良好的房屋。
然而,对于网络安全来说,信息和必要的技能变化和更新得如此迅速,以至于要跟上单一角色的最新信息是一个挑战。
例如,尽管我很欣赏与网络安全相关的所有角色,并且在其中的一些角色中工作过,但我最新的知识是作为一个网络安全经理。如果我回到执行不同的角色,我需要接受培训并了解要做什么。
如果我在某个特定的网络安全角色中停止工作超过 5 年,那么我的以前的知识很可能已经过时,这实际上可能会在专业上造成不利影响。
那么网络安全中的主要职能和角色是什么?
组织仍在决定什么是网络安全以及网络安全部门应该包含哪些角色。在这一部分可能会列出 30 多种不同的角色,但为了清晰起见,我们将看一些应该存在于任何大型企业的网络安全团队内,或者通过安全服务公司可以访问到的一些主要职能。
在本章中,网络安全职能以粗体文本显示。任何可以属于某个职能的角色都显示为下划线文本。有六个主要的网络安全任务和技能(职能)组需要考虑,下面是一些角色的示例:
- 管理
首席信息安全官/首席网络安全官
网络风险经理
网络安全架构师
- 网络安全审计与评估
审计经理、审计员、评估专家,…
- 事件监视和警报(被动操作)
安全事件和事件管理人员
安全事件响应者
网络安全和入侵分析师
- 主动操作
访问管理员
安全设备管理员(防火墙等)
加密/密码顾问
安全风险顾问
网络安全分析师
- 环境测试
攻击和渗透测试员(道德黑客)
弱点评估员
- 专家
安全控件设计师
外部安全专家
数字取证专家
密码学家
密码分析员
反恶意软件/防病毒专家
软件安全专家
| 防火墙 - 是用于监视和保护入站和出站数据(电子信息)的硬件(物理设备)或软件(计算机程序)。它通过应用一组规则来实现这一点。这些物理设备或计算机程序通常至少部署在每个网络访问点的周边。软件防火墙也可以部署在设备上以增加进一步的安全性。防火墙内应用的规则被称为防火墙策略。高级防火墙通常配备了更统一的威胁管理的其他防御功能。 |
总的来说,这些角色允许进行积极和反应性的安全管理。
积极的安全比应对性措施更有益且成本更低。 部署正确的安全措施比在后续阶段修复问题要便宜得多,特别是如果任何安全漏洞导致大量信息丢失或干扰客户或业务活动。
然而,随着可以识别和解决任何开放性安全问题的速度,对应对性安全能力的需求也变得越来越重要,这有助于最大程度地减少其影响和成本。
一些角色仅致力于积极的安全工作;一些关注于应对性安全,而一些则致力于这两种网络安全措施。
这些角色如何适应积极或应对性方法将在第六章《基本网络安全概念》中介绍。
管理
长期以来关于管理职能的一个问题是:管理到底应该做什么?
简单的答案是,该职能负责并承担确立正确治理的责任。
| 治理 - 任何高管用来确保其组织与管理层目标一致并符合可接受绩效标准的方法。 通常通过建立与企业愿景、战略和风险偏好相匹配的政策、流程和控制来实现。 |
首席信息安全官(CISO)/首席网络安全官
任何管理结构中的一个关键原则是在顶层设立一个单一的问责点。
在 2017 年,依然有太少的首席网络安全官或其等同物首席信息安全官(CISOs),他们在每个组织的主要执行董事会中担任职务。 如果没有这个角色在主要董事会上,组织将无法证明主要董事会有能力理解和管理安全。 几年内,任何一家重要组织没有首席信息安全官或首席网络安全官入驻主要董事会将成为不寻常的现象。
| 首席信息安全官(CISO) - 任何组织中确保管理危险和威胁电子和物理信息资产的适当框架正在运行并有效的单一问责点。 |
首席信息安全官应该具有执行战略的焦点和确保组织拥有适当的安全流程和资源的最终责任。 由于数字故障可能导致执行董事会的终止,首席信息安全官必须入驻该董事会并得到首席执行官和首席财务官的充分信任。
CISO 不会直接做出业务技术决策,但他或她会管理过程和报告,帮助每个组织理解和减轻任何安全风险。如果首席技术官(CTO)想要实施特定技术,CISO 不会决定是否可以实施;相反,CISO 将确保可用的流程识别出风险,并在此之前应采取适当的安全措施。
如果一项新技术具有不可接受的风险,CISO 设定的流程应允许相关决策者了解风险,并根据组织风险自行决定是否继续进行。
一个成功的 CISO 首先必须是一个商业人士,具有出色的政治和沟通能力,以及对网络安全治理(如何管理数字化领域)、不断关注新兴技术和敏锐的风险和风险管理意识的广泛理解。CISO 还需要擅长组建一个强大的下属安全管理团队。
CISO 必须始终对所有安全治理事项(包括政策和流程)负有最终责任。
| 政策 - (i)一份高层次的意图声明,通常是一个简短的文件,提供组织遵循的原则指导。例如,一份基本的安全政策文件可以描述企业确保其负责的所有信息在任何未经授权访问的情况下必须保持安全的意图。政策通常不描述用于实现或执行其表达的意图的具体机制或具体指示;这将在程序中描述。 (ii)或者,它也可以用于指代软件程序或操作系统内部的设置(包括安全设置)。程序 - 提供实现目标所应使用的过程(方法)的指导或具体说明。传统上作为文件提供给适当的人员,但越来越多地被内置到计算机系统中以执行所需步骤的指示所取代。在传统的质量模型中,程序可能作为实现特定政策目标的明确指示而存在于政策下。另请参阅政策定义(i)。 |
首席信息安全官(Chief Information Security Officer,CISO)为整个组织定义安全和风险文化,对所有与网络安全相关的政策和流程负有最终责任。这个角色负责确保正确的控制结构存在,以保持风险在可接受的水平,同时这些控制尽可能为新兴技术的安全使用提供灵活性。
简单地思考 CISO 的工作是将他或她视为技术领域的首席财务官对公司资金的角色。每个人都行使全面控制和责任,外部审慎检查偶尔进行。
还有一个密切相关的角色被称为首席信息官,或 CIO。这个角色对安全性很重要(因为信息是新的安全边界);然而,CIO 的角色是看如何优化和利用信息价值,而 CISO 的角色是确保这些信息交易在安全流程下受到管理。
网络风险管理人员
CISO 需要直接下属负责收集和监控数字领域中一系列未解决的安全风险。
| 风险 - 涉及暴露于重大影响或损失的情况。在正式框架中,风险可以使用概率(通常表示为百分比)和影响(通常表示为财务金额)来量化。风险的其他参数可以包括接近性(潜在风险可能何时遇到,以及可能受到影响的资产、服务、产品和流程的信息)。 |
网络风险管理人员通常会建立最低的“重要性”水平(潜在的概率和影响阈值),确定何时应将事件和可能的威胁升级,供高级管理层或更有经验的专家考虑。
有效的网络风险管理不仅仅需要记录有关个别风险的信息。每个风险条目都必须捕捉和解释哪些数字组件和业务流程可能受到影响;否则,累积风险暴露就无法进行相关、分析和理解。
需要注意的是,大多数网络安全漏洞发生是因为累积风险。当风险仅仅被单独看待,而没有评估其潜在的集体影响时,会给组织真实风险暴露水平提供一个误导性的看法。(见关于叠加风险的章节。)
网络风险管理人员不仅确保适当的风险被一贯地捕捉,还确保集体风险信息画面可以被分析和理解。
这种风险分析是帮助每个组织了解哪些安全行动应该被赋予最高优先级的关键工具。
网络安全架构师
任何网络安全控制和流程都需要成为一个连贯的整体计划的一部分才能发挥作用;正如一句著名的谚语警告:“不计划,就是计划失败。”这句格言最初被归因于美国开国元勋本杰明·富兰克林,但许多其他历史人物,包括温斯顿·丘吉尔,也以类似的言论而闻名。
在现代世界中,设计一个强大的整体计划的重要性与富兰克林和丘吉尔的一生中一样重要。尽管您可能使用来自各地的技术选择,但除非您希望在每次选择时重新发明轮子的费用和风险,否则您需要一个安全架构,而该计划需要一个网络安全架构师来构建。
安全架构师不是在选择技术后花费时间设计安全功能,而是创建一个带有标准安全组件的主计划,该计划可以在需要添加新技术时有效快速地使用。
网络安全架构师的角色是确保清楚地了解允许的方法,以安全地集成和扩展组织的数字生态系统以与其他人交互。这包括考虑任何设备中的个人移动应用程序的安全性。它还包括远程技术(如云服务和关键供应商系统)的安全标准和要求。
例如,使用大量密码实际上并不安全。安全架构师可以设计一个框架,通过该框架,可以使用完全相同的身份和密码访问许多不同的内部和外部技术,而不会将密码暴露或透露给任何其他软件。
架构师还可以设计设备之间信息流的安全、标准选项。每当请求新的信息流方法时,安全架构师应该是参与审查、批准或升级问题的人员。
应强调的是,尤其是对于大型组织来说,创建有效的网络安全架构是运行有效网络安全的最(如果不是最)重要组成部分之一。
如果没有一种有效且适当的网络安全架构模型可供首席信息官和组织中任何正在采购或开发新应用程序和技术的人使用,那么将存在大量安全漏洞。这将导致后期安全事件管理和安全漏洞的反应性解决的成本循环,如果规格已提供并嵌入到设计和发布过程中,则这些成本本可以避免。
网络安全机构估计,解决安全漏洞的成本后期可能是初始包含正确安全控制和架构的成本的数千倍。
作为嵌入式规范价值的一个例子,请考虑一个这样的情况:组织的网络安全架构明确规定了用户登录系统的可接受安全方法。 在每项技术的建设或采购过程中,所需的登录方法将成为标准要求。 任何例外都需要经过适当的风险和成本的合理理由批准。 未来的登录技术升级可以在中央进行,而且简单且经济实惠。 如果没有这个规范,那么在每个活动技术上重新访问和修复身份和访问管理组件的成本可能会非常高。
对于应该根据设计纳入的所有安全标准,情况也是如此。 如果它们被充分整合到网络安全架构中,并以可访问和易于理解的格式提供给适当的业务所有者和采购部门,那么安全漏洞将较少,未来的修复管理成本将大大降低。
网络审计与评估
有必要定期交叉检查所有关键技术、供应商和流程的安全性和完整性。
网络审计和保障功能的存在是为了检查操作的样本,以验证它们是否安全和正确执行,并确定任何重大差距和需要采取的任何纠正措施。
审计和保障是基于公司管理层设定的政策和程序中出现的关键控制进行的。 这些政策和程序通常被调整以满足任何法律要求或行业标准。
对安全管理员活动的持续跟踪和报告也可以成为此功能的一部分。
必须跟踪任何确定的重大控制差距,直至关闭。 任何即时的关键风险项目必须上升到网络风险登记册(活动风险的主列表)或根据需要直接上升到首席信息安全官。
事件监控与警报(被动操作)
数字景观不断受到攻击。 这意味着大型组织需要技术和人员不断监视有关尝试入侵网络的实时信息和警报。
安全事件和事件管理
拥有能够随时做好准备并能够应对任何网络安全问题的熟练人员非常重要。 还记得当 Target 的反恶意软件程序发出警报时未能发生的事情吗? 安全事件和事件管理是最后的防线,可以及时响应以挽救局面。
大型组织通常有专人负责应对事件。较小的组织在发生事件时通常依赖于从其他领域借用人力资源。专门的资源更擅长事件响应,因为他们更有可能具有精细的技能、知识和工具,能够快速进行根本原因分析和所需的纠正措施。专门的资源也更有可能快速做出响应。
通常,将有一名安全事件响应人员随时待命,以确保对任何事件(如拒绝服务(DoS)或恶意软件攻击)立即作出响应。
| 拒绝服务(DoS)- 一种旨在阻止或中断人们对组织系统的使用的攻击。通常,针对企业的特定部分进行攻击;例如,特定的网络、系统、数字设备类型或功能。这些攻击通常来自于可以通过互联网访问的设备,并且是针对这些设备的。如果攻击来自多个来源位置,则称为分布式拒绝服务或 DDoS 攻击。 |
网络安全和网络入侵分析师
该角色负责测量、监控和管理直接受组织控制或问责的所有资产和信息流的运营状态。这包括所有软件、硬件、网络设备、通信渠道和可能成为潜在漏洞来源的第三方(外部)景观项目。
通常通过设备和网络监控软件的组合以及其他调查工具来协调。这些信息通常被收集起来形成状态仪表板和全天候运行的自动警报。
较大的组织通常会设有一个安全运营中心(SOC),这个中心基本上包含一个或多个办公室,用于监控和管理实时威胁。
控制水平的规范由网络安全管理团队制定的政策、流程和基准标准确定,包括 CISO 和网络安全架构师。
任何日常运营中的差距或不足也由安全运营团队解决(追踪到解决方案)。政策和程序中存在的任何重大差距或不足都会向网络安全保证功能报告,并提出改进建议。
这些分析人员还执行安全监控,包括分析日志以帮助检测和报告事件。
网络入侵分析人员检测到的任何重大事件必须立即触发事件响应程序。
这个团队的分析人员通常也是事件响应团队的一部分,在安全事件和事件管理职能的指导下。他们通常最适合在发生任何事件时帮助评估损害和影响。
这个团队的成员也是创建新安全解决方案和加强现有安全标准的宝贵咨询资产。
积极的运营
除了帮助检测和响应已知或疑似事件的安全事件和安全监控人员之外,还有许多其他角色可能有助于维持有效和安全的数字环境。
这是一份关于日常积极管理安全的主要角色的简要且高层次的列表。
访问管理员
此角色执行设置和管理访问组织的设备和系统的操作。
大多数组织密切监控这些管理员,并禁止他们对系统进行任何操作,除非这些操作对于他们的工作——添加或删除其他人的访问权限是必要的。
例如,如果一个人管理财务系统的访问权限,禁止该管理员执行任何操作性交易,如提出或批准采购订单,将是重要的。
访问管理角色应定期轮换,并且在高度敏感系统上实施的任何访问更改都应需要至少 2 个访问管理员进行处理(一个提议者和一个批准者)。
访问管理角色的活动通常会被记录在电子审计轨迹中,并且任何可疑的活动模式会自动引发警报。例如,如果在同一天授予然后撤销访问权限,就知道这是潜在欺诈的指标。
安全设备管理员
任何中型或大型组织都使用各种广泛且不断增长的安全技术来运行。
任何配置或管理用于检测、阻止或允许数字流量的技术的人都处于一个特权位置,是任何网络攻击的主要目标。因此,管理防火墙、网络设备和安全专用技术(如数据丢失预防软件)的人被认为具有特权访问,受益于监督其特权访问的流程。
| 数据丢失预防(DLP)-该术语既可以描述(i)用于帮助阻止未经适当授权将信息带出组织的技术,也可以描述(ii)用于帮助阻止未经适当授权将信息带出组织的策略。软件技术可以使用启发式(符合某些规则的模式)来识别、警报和/或阻止数字设备上的数据提取活动。例如,DLP 技术可以禁止通过互联网邮件服务发送特定类型的文件附件。这些技术还可以阻止或监控许多其他尝试删除或复制数据的尝试。熟练的黑客可以使用规避这些解决方案检测的变通方法,包括加密和分段。尽管这些解决方案正在成为一种必要的防线,但最安全的环境旨在首先防止任何重要数据集可供出口。因此,数据丢失预防通常被认为是最后一道防线(如果所有其他安全控制措施都没有成功的话,就是最后的安全网)。 |
标准的良好的网络安全实践包括提供对这些角色进行有效监督的流程和技术。这些措施通常利用特权账户管理系统(PAMS)。
| 特权账户管理 - 用于监控和控制特权账户活动的系统、技术和流程。 |
安全管理员操作的许多技术,如果被错误使用或被任何敌对方访问,都有可能造成严重的业务中断。一些安全技术有能力阻止它们正在保护的整个环境工作。
配置和维护数字网关、安全性、数据库和通信渠道的角色通常会受到密切监控、跟踪其行动的审计记录、次级批准以及自动软件的影响,该软件会发出警报或阻止任何可疑或未经授权的行动。
加密/密码学专家
这一角色充当安全密钥管理流程的顾问或管理员,并就适当的加密/密码学标准提供建议。
随着现在加密的信息量增加(将明文转换为秘密格式),大型组织现在必须设计和操作所谓的密码学密钥架构。这种架构使他们能够确保用于加密和解密信息的密钥在需要时何时何地都能够及时获得。
密码学密钥架构是安全架构的一部分,由密码学专家提供意见设计。
安全风险顾问
每当考虑使用新类型的技术、设备或通信渠道时,都应该在决定是否实施之前评估风险。
这可能是来自新技术、新供应商、新云服务或任何其他“新”活动的风险,这些活动将导致任何有价值的信息被传输。
安全风险顾问就安全风险过程设计提供建议,并在每次运行风险评估过程时为业务提供咨询帮助。这将在后续章节中进一步讨论。
环境测试
大多数人对网络安全的一个领域感到兴奋的是伦理黑客和红队流程。
| 伦理黑客 - 支持性(白帽子)渗透测试专家协助发现安全漏洞和漏洞的过程。红队 - 在测试可能影响任何关键或敏感系统、基础设施或网站的潜在漏洞时,通常会使用一个渗透测试团队。此术语(红队)用于描述一组渗透测试人员一起处理此类目标的情况。 |
“红队演练”是一项旨在验证环境安全中的任何漏洞如何可能被利用的演练。在这个演练中,红队由伦理黑客提供资源,而一个蓝队(防御组)的安全人员组则试图识别和阻止他们的尝试。
虽然这是测试环境网络安全性的一种形式,但它有几个缺点。
- 这是非常昂贵的。
- 除非在环境投入运行之前进行,否则它在潜在更昂贵的修复时期将会被反应性地揭示问题。
- 这需要环境所有者的许可,这通常排除了最大风险的环境(如供应商系统)。
虽然红队演习非常有趣,但往往只占网络安全预算支出的一小部分。
然而,有一个非常有价值的版本更加一贯地使用,并且更加积极主动。渗透测试。
渗透测试人员(有时也称为伦理黑客)
渗透测试人员在新系统或网站投入运行之前以及组织程序和安全态势定义的周期性(重复)基础上进行潜在漏洞的检查和扫描。发现的任何漏洞(漏洞)通常会被分配一个重要性级别,并且如果其重要性级别高于组织的可接受标准,则会被解决。
| 伦理黑客 – 渗透测试者的另一个名称。 渗透测试(也称为攻击和渗透测试或渗透测试) – 检查和扫描任何应用程序,系统或网站,以确定可能被利用的任何潜在安全漏洞(漏洞)。 一旦识别出漏洞,此过程就会继续确定可以利用这些漏洞的程度(渗透可能性)。 通常,这些检查是在测试区域进行的,并且模拟可能由攻击者使用的相同技术。 这是为了防止任何意外的运营中断。 在任何应用程序或网站首次使用之前以及定期(重复)进行此类检查; 例如,每次更新程序或每 6 个月。 必须在适合风险规模的时间范围内解决任何重大差距。 不要与仅识别差距而不检查如何利用的术语漏洞评估混淆。 另请参阅枢纽。 渗透测试者 – 代表拥有或控制它的组织在目标系统或应用程序上执行模拟攻击尝试的人员。 另请参阅渗透测试和枢纽。 |
渗透测试几乎总是在现场系统的副本上执行,而不是在实际系统上执行。这是为了防止任何意外的运营中断。
渗透测试被认为是具有安全设计的任何软件或系统的实现和发布的必要成分。 它通过验证是否已实现所有预期的安全性来帮助。
漏洞评估员
通常使用专业软件运行称为漏洞评估的过程。
| 漏洞评估 – 识别和分类计算机、软件应用程序、网络或数字景观其他部分的安全漏洞。 这通常是一种被动的识别技术,仅旨在识别漏洞,而不探索这些漏洞如何被利用。 这不应与渗透测试混淆,后者可能包含漏洞评估的信息,但会继续探讨如何利用任何漏洞。 |
这些检查通常在活动的操作环境中执行,故意 passives(非侵略性),以防止意外的运营中断。
漏洞评估员负责管理漏洞评估和过程产生的结果的管理。 这些评估可以定期进行,但越来越多地在实时连续进行。
其他角色
这不是一个完整而全面的列表。 这些附加角色仅是其他更专业角色的示例,这些角色也可能对网络安全团队至关重要,这取决于其大小和目的。
安全控制设计师
这个人可以通过分析任何新安全控制的确切要求(目的和意图),并提出最高效、最有效且最不影响其他设计来支持网络安全领域。
外部安全专家
这些专家在帮助内部网络安全团队就任何对他们来说陌生或时间分配不足的事项或主题提供建议、补充或教育方面非常有用。外部专家也可以在临时或兼职角色中发挥作用。选择这些附加团队成员的主要标准是首先验证他们确实具有团队所需的缺失技能。
数字取证
在网络安全事件引发的任何法律问题后,数字取证专家会保留、重建和恢复电子信息。这个角色通常是涉及数字设备误用的任何执法或法律行动的关键部分。
反恶意软件/反病毒专家
这些专家帮助分析、对抗、报告和防御新型恶意软件。他们在零日攻击期间特别有用。
| 零日 - 指新型利用或新型恶意软件首次被发现的时间。此时,没有反病毒软件、反恶意软件或其他防御可能被设置来防御新型利用形式。 |
软件安全专家
这个专家通过将安全特性纳入构建过程和特性规范中,确保软件在‘设计时安全’。其他职责可能包括通过程序本身(称为源代码)运行自动化和手动扫描,以防止程序员插入任何后门或其他不友好的内容。
| 后门 - 一种秘密方法,可以绕过正常的身份验证要求访问软件或设备。 |
密码学家
密码学家,或加密码制造者,进行研究以创建更强的加密算法。这通常是安全软件公司和国家政府机构内的网络安全职能所保留的角色。
密码分析师
这个角色分析加密信息以解密并显示信息。本质上,这个人是一个加密破译者。他或她的技能在反恶意软件公司中尤其有用,因为任何新的恶意软件本身通常是加密的。
这些只是对任何主要企业网络安全团队可能需要的主要功能和角色的基本描述。
请记住,有时人们可能需要涵盖这些角色中的若干个,并且工作标题通常与实际涉及的任务和职责关系不大。
仅部分涵盖上述两个领域,但变得越来越重要的是:
- 组建跨这些学科领域的威胁情报团队,任务是预测和预防最可能出现的威胁和利用。
- 确保准备好正确的应急和恢复计划,以应对灾难(技术或自然)发生的情况。
应急计划通常被称为业务连续性计划。
| 业务连续性计划 - (缩写 BCP) 是一份操作文件,描述了组织如何在发生导致正常运营中断的重大事件时,将其关键产品或服务恢复给客户。 |
业务连续性计划是一个完整的学科领域和学科。 单个组织通常有多个业务连续性计划,以确保每个位置、产品和服务都可以单独恢复。
由于技术通常跨多个站点、产品和服务使用,因此实际用于恢复数字系统的计划仅由业务连续性计划引用,而不包含在其中。
用于数字或电子系统的恢复计划分别称为技术灾难恢复计划或简称灾难恢复计划。
| 技术灾难恢复计划 - 一份操作文件,描述了将任何电子或数字系统恢复到业务连续性计划规定时间范围内所需的确切流程、人员、信息和资产。 如果有多个业务连续性计划引用相同的技术灾难恢复计划,所使用的恢复时间必须符合任何文件中指定的最短时间。 |
尽管这些学科(业务连续性和灾难恢复)在任何大型组织中都已经单独存在,但它们是组织中存在的额外角色的一个例子,其中网络安全必须得到代表、考虑和内嵌。
你可能认为自然灾害与技术弹性无关,但想想福岛海啸造成的灾难,再想想黑客的想法。 如果你想摧毁一个数字系统,蛮力往往比技术能力更有效。 考虑所有小事情是至关重要的,但也不要忘记其他可能摧毁你技术库存的事件。
在组建有效的网络安全团队时需要考虑许多因素,该团队必须能够应对所有技术、环境和人为因素,这些因素会影响网络安全的弹性和事件。 我认为美国国土安全部网络安全主管在这个问题上提出了一些建议:
如果你想要一个强大的团队来帮助你走在网络安全问题的前沿,最好确保你的团队是 EGGE。 这意味着,如果你正在寻找一个强大的团队来运营一个企业的网络安全,你应该组建一组人员,他们是:
- 种族多样化
- 地理多样化
- 性别多样化
- 教育多样化
这确实是非常明智的话。如果你的团队知识库较小,就无法指望找出对手可能发现的潜在弱点。
面向初学者的网络安全(一)(3)https://developer.aliyun.com/article/1507745
