你的企业有这样的网络安全盲点吗?

简介:

随着加密流量的监控和SAP软件及其他遗留应用程序的升级变得越来越复杂,技术盲点会给CISO及其团队带来极大的信息安全挑战。但是,还有其他一些网络安全盲点涉及一些形态多样的非技术概念,如企业风险。几位网络安全专家和CISO有针对性地探讨了一些他们所发现的隐藏风险和漏洞,以及一些针对于企业安全的持续且日益严峻的威胁。

你的企业有这样的网络安全盲点吗?

网络安全盲点:漏洞与风险

公司应该如何处理漏洞呢?根据医疗公司Baxter International的医疗设备网络安全技术主管Pavel Slavin的观点,具体情况取决于公司所在的特定垂直行业。他说:“我们不能只是在周二下载和安装微软补丁——医疗设备必须在验证补丁真正有效之后才能安装补丁,否则它有可能会伤害病人的生命。我们需要能够调整我们响应可能造漏洞的方式,否则可能造成的危害大于好处。”

安全分析公司Niara的营销副总裁John Dasher补充说:“检测与保护技术往往作用范围有限。我不建议中断公司已经在使用的技术,但是要明确一点,在确认已知攻击和理解攻击方式之前,冒然引入其他技术很可能造成其中某个部分出现故障。新型未知攻击通常可以轻松绕过保护技术。”

UC圣塔巴巴拉分校教授及Lastline CTO Giovanni Vigna在RSA Conference 2016召开后的一次访问中警告说:“恶意软件出现,然后偷偷传播,让CISO半夜不得安宁。恶意软件是指:各种有恶意企图的东西,而且并非所有方法可以解决所有类型的恶意软件。而且,许多攻击都带有多种成分,以绕过检测,如将RTF隐藏在DOC中。”

此外,还有一些网络安全盲点隐藏在风险之中,因此要比一些技术漏洞更难量化和检测。例如,第三方商业伙伴获得了IT环境的哪些访问权限?

在一次RSA小组会议上探讨CISO及其所真实经验教训时,密歇根州Blue Cross Blue Shield的副总裁和CISO Tom Baltis建议说:“要引入基于风险的项目,同时还要小心对待使用自动化的方式。你需要工具来建立与第三方的互信关系——商业关系在发展进步,信任关系也要随之进步。”

Virginia Tech的CISO Randy Marchany给出了一些关于如何辨别和处理新软件潜在风险的建议。他说:“我们有一个采购调查表,如果一个部门想要采购软件,那么供应商必须先填写这个调查表。如果某一个软件是业务过程负责人要求使用的,那么我不会对他们说不能使用这个软件,但是我们需要引入额外的控制措施来堵住这个漏洞。”

此外,Marchany指出,CISO一定要关注于最重要的部分——数据。例如,Marchany向CIO报告,后者再向总裁报告,并且每年向董事会汇报3~4次整体状态;但是显然这仍然不够。他指出,无论推荐的频率有多高,“董事会仍然希望了解我们成功阻挡了哪些攻击和最近漏过哪些攻击。我可能会告诉他们,确实有一些攻击进来了,但是它们并没有偷到仍然数据。在报告成功的同时也一定要报告问题。”

在RSA大会关于使用国家机构标准与技术(National Institute of Standards and Technology, NIST)的隐私风险管理框架(Privacy Risk Management Framework)的小组会议上,美国卫生与人类服务部的隐私事件管理及响应主管Logan O'Shaughnessy指出,有些组织“提出这样的问题……需要收集这些数据以满足业务需求吗?假设实际上并不需要存储用户信息。如果收集了这些数据,即使经过批准,只要你存储了数据,就有隐私风险。”

O'Shaughnessy补充说:“我们的意外响应团队目前使用一个集中库来管理安全和隐私事件,以帮助处理这些事件。然而,处理完一个安全事件,并不意味着与之相关的隐私事件也处理完毕——它还可能要求额外向民事权利局(Office for Civil Rights)报告。NIST是促成两个团队展开讨论的中间跳板,从而将安全和隐私流程连接在一起。”

Dasher指出,始终将隐私风险放在第一位,有利于帮助组织处理一个当今世界面临的更大网络安全盲点。Dasher说:“持续更新用户、主机、IP、应用程序等相关风险配置,可以使安全团队能够对工作进行优先级划分,然后在问题完全暴发之前发现问题。最重要的是要有一些能够可靠提供全面可见性的系统。”

Vigna指出,一些特殊部门和业务线特别容易出现数据漏洞,因此需要通过风险评估来发现和解决这些问题。

他说:“工资、税务填报人和法律部门可能成为公司的薄弱环节。这些服务通常都是外包的,保护措施不强,而且有可能给攻击者提供非常完整的个人信息。”

小结

对于现在想知道自己工作还缺少什么的CISO而言,专家建议要关注这样一个现实:CEO和主管团队希望了解公司当前状态与主流标准(如NIST或ISO)的差距,以及公司的安全成熟度在什么水平上。此外,他们还希望知道CISO已经制定了应对任何未知安全问题的计划。

当公司开始辨别和处理这个问题时,大多数时候他们都会发现除了核心安全日志,其他方面还缺少全面的可见性。Dasher说:“掌握覆盖所有相关安全数据源的联动状态,再加上一层正确的行为分析技术,才能在危急关头绝处逢生。”

由于现实环境就得越来越复杂、分散和移动化,因此CISO不可能只通过内部手段同来管理所有网络安全问题。企业很可能需要将一部分工作外包给一个专业信息安全公司。

云安全供应商Sumo Logic的安全与规范产品管理主管George Gerchow说:“不要牺牲安全性来谋求方便性。”

相反,CISO及其信息安全团队应该关于利用这些技巧和寻求外部支持手段来消除网络安全盲点。


作者:曾少宁

来源:51CTO

相关文章
|
1月前
|
安全 虚拟化
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
42 5
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
69 32
|
14天前
|
云安全 人工智能 安全
|
20天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
27天前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
53 11
|
28天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
28天前
|
弹性计算 监控 数据库
制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程
本文通过一个制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程,展示了企业级应用上云的实践方法与显著优势,包括弹性计算资源、高可靠性、数据安全及降低维护成本等,为企业数字化转型提供参考。
52 5
|
28天前
|
SQL 安全 算法
数字时代的守护者:网络安全与信息安全的现代策略
在数字化浪潮中,网络安全与信息安全如同航船上不可或缺的罗盘和舵。本文将探讨网络安全漏洞的成因、加密技术的重要性以及安全意识的培养,旨在为读者提供一套完整的网络自我保护指南。从基础概念到实用策略,我们将一起航行在安全的海洋上,确保每一位船员都能抵达信息保护的彼岸。
|
1月前
|
机器学习/深度学习 监控 数据可视化
企业上网监控:Kibana 在网络监控数据可视化
在网络监控中,Kibana 作为一款强大的数据可视化工具,与 Elasticsearch 配合使用,可处理大量日志数据,提供丰富的可视化组件,帮助企业高效管理网络活动,保障信息安全。通过索引模式和数据映射,Kibana 能够组织和分类原始数据,支持深入分析和异常检测,助力企业识别潜在安全威胁。
56 5
|
1月前
|
监控 安全 网络安全
企业网络安全:构建高效的信息安全管理体系
企业网络安全:构建高效的信息安全管理体系
81 5