影响企业安全运营中心运营五大陷阱

简介:

本文讲的是 :   影响企业安全运营中心运营五大陷阱 ,  【IT168 编译】前任美国陆军网络司令部安全运营中心负责人就抵御攻击者入侵议题分享了他的经验与惨痛教训。“从立场角度出发,负责运行紧急响应团队与扮演安全运营中心主管角色之间存在着显著差别。我将后者称为一种“记者席”类型的网络安全视角,而这一结论源自我在美国陆军网络司令部的安全运营中心担任负责人以及近来在FireHost公司担任CSO职务时积累到的所见所闻。

  在扮演上述角色的过程中,我的任务并非承担特定基础设施的安全保障工作,但这些工作经历却让我开始意识到大部分从业者在处理安全事务时采取的都是“防御姿态”。有鉴于此,我开始记录下那些导致我的团队遭遇安全违规事故的本质原由。而从这些原由当中,我发现了安全运营中心领域最为常见的五大陷阱。

  陷阱一:采取集中化规划与执行方式

  为数众多的大型跨国企业希望能够以集中化方式实现安全事务的规划与执行。在这种情况下,无论大家向其中投入多少人工智能以及计算资源,由此带来的大数据处理难题都不可能得到有效解决。

  我们在美国陆军全球安全运营中心内采取的方案是以集中化方式处理规划、但以分散方式将其付诸执行。我们的全球安全运营中心会根据威胁调查结果推出相应防御对策,但具体执行权则被交给各区域安全运营中心——包括运用这些威胁指标并对其区域内部安全堆栈提供的警报信息加以管理。各区域团队也拥有充分的灵活性对具体安全态势做出调整,这就确保了其能够在必要的情况下拥有高于全球基准的针对性应对措施。安全信息与事件管理(简称SIEM)数据会被传输至全球安全运营中心并作为分析素材。然而,各区域安全运营中心会首先对SIEM事件进行过滤、同时清除混杂于其中的虚假警报。

  陷阱二:将安全运营中心的任务与责任外包出去

  具体来讲,我曾经亲眼见证过两大主要趋势:企业通过外包方式管理安全服务供应商以及/或者采取离岸外包将安全运营中心事务交由高价值区域的合作方处理。就其本身而言,把一部分安全运营中心事务交由第三方负责并不是什么大问题。其中的关键就在,我们绝不该把安全运营的相关职责移交给其它服务供应商——这种模式根本起不到理想中的效果。一家企业能够也应该将警报以及其它部分安全设备管理工作外包出去,但安全运营中心对于此类警报的管理能力必须牢牢掌握在内部团队手中。我怀疑这正是企业在将安全运营中心加以外包时希望得到的结果,但只有具备专业知识的内部人员才有能力根据错误警报采取对应行动、从而选择将其忽略或者通过重新分配实现成本节约战略。我建议每一个安全事务团队都尽可能将紧急事件处理流程保留在企业内部环境当中。

  陷阱三:坚信单靠技术本身已经足以提供有效的安全保障

  尽管选择正确的技术方案非常重要,但经过良好培训的工作人员以及正确的技术利用方式也拥有同样关键的地位。我曾经同我自己的团队分享过这样一种观点:“老虎伍兹能够用我的高尔夫杆打出出色的成绩,但我却没办法用他的球杆打出世界一流水平。”其中的核心在于,大家必须高度关注如何对安全工具加以利用、同时依靠方法性方案对来自这些工具的处理结果进行分析。如果我们认真解读过去几年内发生过的全部主要安全违规事故,就会发现大部分违规早已被技术方案检测出来,只不过没有合适的人员以及流程能够及时加以解决。不要妄想利用购买新型技术产品来替代员工培训以及流程开发,这样的战略方针注定会遭受失败。

  陷阱四:把事件管理与问题管理混为一谈

  我拜访过的很多安全运营中心——包括军方及民用组织——都会引入大量行动,但却没能找到真正的执行方向或者需要实现的目标。他们拥有丰富的数据分析与开启支持能力,但却没有讨论过该如何抢在威胁发生之前采取行动并降低自身攻击面。在我为美国军方承担安全管理事务之前,我曾经担任过CIO职务并效力于基础设施供应商,这让我对于大部分IT服务供应商所采用的ITILv3框架非常熟悉。我注意到,绝大多数安全团队能够实现基本的突发事件管理,但却无法真正理解事件管理与问题管理之间的区别。

  如果大家正在寻求正确的衡量指标并进行趋势分析,就会清楚地认识到安全控制与策略是在何时失去效果的。几乎没有多少安全团队能够为此类分析提供足够的传输带宽,也正是因为如此,作为威胁根源的恶意攻击者才能利用同样的技术、战略以及规程在安全破坏活动中取得成功。

  陷阱五:对一切对象加以保护(在多数情况下,保护一切意味着毫无保护)

  恶意攻击者可能只对全部数据及基础设施体系中约2%内容感兴趣,但他们会利用其余98%作为跳板来获得访问这2%内容的能力。一部分最具创新能力的CIO拿出了自己的解决方案,这也是我目前为止见过的最为睿智的安全策略——他们将自己的网络视为“有争议的空间”而非被严密保护在坚固城墙当中的堡垒。这些创新推动者们会积极对自身网络进行细化拆分,并将最有价值的数据、应用程序以及VIP用户迁移到安全保障能力更强、更为可靠的基础设施体系当中。事实上,我们的大部分客户会把其难于保护的规范化数据及应用程序交由强大的云服务供应商负责,从而保证这些关键性资产能够得到高度专注的重视及严格保护。

  我们在自有安全运营工作当中采取的另一项举措在于将安全性与漏洞管理精力集中在已经确定的“关键性区域”当中。过去十年以来,安全威胁的起效流程并没有出现太大的变化。一般而言,恶意攻击者会入侵主机、提升权限,然后寻找机会对受害者的基础设施加以利用、使其反过来成为攻击用户的武器。我们的方案则旨在确保此类基础设施,例如Active Directory、软件分发系统以及其它关键性区域,拥有更理想的安全保障水平、并对威胁活动进行定期审计。

  当然,这五种常见陷阱还无法代表我们在实际工作中可能遇到的全部状况。不过这些正是我的安全团队选择重点投入并加以高度关注的层面。我们的目标在于保护自己的关键性资产、在其遭受入侵时快速掌握情况并利用实时举措对威胁加以遏制甚至是消除。如果有朋友坚持认为自己的目标在于创建一套完美的安全环境,那么我得先泼一盆冷水:这种方案压根就不存在。然而,如果大家能够利用明智的安全运营机制——其中集合了正确的人员、正确的流程以及正确的技术方案——尽可能缩小受攻击面,那么我们的这套防御体系将对恶意攻击者的技术水平提出严峻挑战。换句话来说,绝大部分攻击者只能放弃尝试,转而寻常那些更容易对付的攻击目标。


原文发布时间为:2015年7月6日

本文作者:核子

本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT1684

原文标题 :影响企业安全运营中心运营五大陷阱

目录
相关文章
|
算法 Java 业务中间件
研发人员如何才能在做业务的过程中自我增值?
如何才能在做业务的过程中不再是资源一样被消耗而是像资产一样自我增值?如何成长?如何高效率地成长?如何让自己的成长走在环境要求的前面? 基于以上这些问题,本文将依次阐述以下内容: 先从“人的本质”入手(第二章节),接着探讨“人的成长”的本质(第三章节),最后再探讨业务和技术的一般规律及应对策略(第四、第五章节)。 需要注意的是,以下内容受限于个人能力和经验有限,在描述规律的过程中,可能会存在维度的缺失;或者当前描述的规律所涉及的维度并不是某些读者认知中的重点,因为事物不同的维度在不同角色和级别的人的认知中重要程度不同。
261 1
研发人员如何才能在做业务的过程中自我增值?
|
安全 数据安全/隐私保护 黑灰产治理
互联网常见业务风险|学习笔记
快速学习互联网常见业务风险
互联网常见业务风险|学习笔记
|
监控 安全 开发者
互联网常见业务风险防控建设|学习笔记
快速学习互联网常见业务风险防控建设
互联网常见业务风险防控建设|学习笔记
高效率互联网产品运营中心组织结构规划
内容服务型互联网公司往往把产品团队和运营团队放到一起,组成一个产品运营中心,中心设一个主任(国企常用)/总经理(私企常用)来主导整个部门管理。为了提高产品产出速度和品质,产品运营的跟进速度和推广力度,保证产品运营团队的紧密高效配合,以下设计了一个部门人员结构及配合分工的规划图。
1652 0
|
运维 供应链 安全
企业云管理服务架构师(CSE)系列之从销售视角看等级保护的云服务过程的意义
记一次给企业客户做阿里云等保服务的咨询、交付的心得总结,希望对大家有帮助
408 0
企业云管理服务架构师(CSE)系列之从销售视角看等级保护的云服务过程的意义
|
数据挖掘
重点人员动态管控预警系统开发方案,情报研判分析平台建设
重点人员动态管控预警系统开发方案运用新一代信息技术和智能化大数据分析,统一构建重点人员管控系统。将辖区内的各类重点人员的基本信息统一采集录入,更新,统一汇总分析研判,分类采取管控措施。
617 0
|
数据采集 算法 数据可视化
情报研判分析系统平台建设,重点人员动态管控系统开发
情报研判系统以信息导侦、科技强侦为指导思想,针对毒-品犯罪集团化、网络化、智能化的特征,利用信息技术手段整合、共享、收集、深挖、跟踪、分析各类情报线索、为缉毒侦查破案提供及时、准确的情报支持,有效打击毒-品犯罪。
282 0
|
机器学习/深度学习 人工智能 运维
强化企业 IT 运维的五大 AIOps 策略
在现代化的企业中工作,我们希望 AIOps(中文资料中也称为“智能运维”——译者注)能强化 IT 运维,使企业在提高性能的同时降低成本、预防 IT 事故并提高业务的敏捷性。但在市场上存在着多种差异化的 AIOps 产品,我们如何能确保所选路线的正确性?一旦决定采用 AIOps,应如何最大化地发挥其作用?
571 0
强化企业 IT 运维的五大 AIOps 策略
|
监控 大数据 数据管理
政法大数据人员管控系统开发,重点关注人员联防联控平台建设
政法大数据人员管控系统,是以政法委为统筹核心,横向打通公安、检察、法院、司法、监狱 等部门,纵向贯通中央、省、市、县、乡五个层级,综合运用现代科技成果,统一管控操作平台、统一执行标准、 统一协调联动、统一管理监督,实现对九类重点人员及流动人口进行全流程、全覆盖、全天候数字化管理。
318 0