迄今为止,几乎每家企业都实施了某种类型的数字安全计划。事实上,如果我们要根据安全级别将企业进行分类的话,不能简单地将他们划分为已实施和未实施两大类,而是要依据其安全风险管理计划的相对复杂度进行更为合理的分类。
无论企业的安全计划复杂度如何,都务必定期检查并更新该安全计划以应对威胁态势的变化和企业基础架构的变更。本文将讲述所有公司在持续评估其安全计划时应注意的五大要素。
1.制定事件响应计划
如要制定高效计划,安全专业人员必须首先对安全措施了如指掌,并对企业业务有深刻的认识。对业务的了解越深入,对业务安全需求的了解就越全面。
除此之外,安全专业人员还必须确保各业务部门参与到响应流程。首席信息安全官 (CISO) 应推动该计划的实施并确保在事件过程中将适当资料分发到相关业务单位负责人手中。安全团队与业务部门之间集成越紧密,对接就越无缝,出现事件时制定决策的速度也就越快。
从安全和风险管理角度出发,安全专业人员应具备实战经验,亲身接触过现实事件中将面临的各种类型攻击,并且对于如何应对攻击能够做到胸有成竹。改进团队响应有效性的有效方式之一就是开展“红/蓝培训”,其中一部分响应团队扮演攻击者,另一部分扮演防御者。
安全小组和业务单位负责人必须联合制定、审核并落实安全事件响应计划的执行演练,以改进企业对攻击所带来潜在后果的控制能力。撰写事件响应计划的相关文档并经常进行计划演练可帮助快速识别事件,及时采取补救措施,减轻潜在损害。
2.加大对网络监控的投入
所谓明枪易躲暗箭难防,公司无法阻止暗地里的攻击。因此,公司应积极加强对整个环境的持续监控,通过扫描和系统监控全面掌控环境全局。
如要持续监控安全计划的有效性,三大监控方面是关键:
- 监控网络的已知威胁
- 监控 CISO 所制定网络策略的违反情况
- 监控企业网络中有无异常行为
企业应将可操作情报集成到监控中,及时洞察威胁主体及其攻击活动。此外,还应加强网络监控力度,从而识别攻击和保护网络安全。当今市场中存在各种各样的技术可帮助提高监控力度。
3.强制实施安全标准
威胁情报是一项待开发能力,在与信任的第三方共享数据时尤为重要。如果你要与第三方连接(无论你是数据提供方、接收方或两者兼具),首先要了解相关标准和期望并基于理解编制完备的文档。传入或传出公司网络的数据都须遵守企业安全策略,传输方式所采用的安全性级别也应根据信息敏感度而定。此外,应不时回顾审查关于标准和期望的理解性文档,或按需修改以确保文档处于最新状态,且针对性强。
4.洞悉攻击者策略
确保安全团队掌握了攻击者所采用工具、策略和实践方法的一手资料,便于安全专业人员能够从攻击者的角度审视整个企业的安全环境。安全专业人员需了解如何抵御攻击,以及最常见的攻击方式。通过模拟当前黑客攻击工具并进行逆向工程,安全团队可开发出一种“熟能生巧”的破解方法,轻松应对这些类型的攻击。
很遗憾,攻击者并不会墨守成规,他们不遵守任何一种应用程序开发规则。这就意味着,攻击者可能并且也将随时改变他们的策略和战略来躲避检测,这让多种攻击类型的模拟和逆向工程变得困难重重。尽管如此,我们还是要迎难而上,因为它非常重要。
5.提高员工安全意识
在企业内部构筑“人力防火墙”,例如开展安全意识培训,将安全职责明确落实到每位员工身上。务必注意,仅仅对安全系统执行渗透测试是远远不够的,它只能帮助你监控网络的已知威胁。
攻击者获取信息最常用的方式之一就是利用攻击性社交骗局策略打败企业的防御措施。攻击者会拨打客户服务热线或从常规邮箱发出电子邮件,试图通过伪装成服务提供商或企业内部 IT 员工达到提取信息的目的。2014 年《互联网安全威胁报告》指出,这些类型的攻击大幅上升了 91%,成为攻击者侵入受害者设备的最常用方式之一。通过安全意识培训提高客户支持员工的安全意识后,社交骗局攻击就不会那么轻易得逞,企业也会愈加安全。
结论
安排适当的培训并就企业安全计划实现协作,可大大提高企业防御攻击的安全意识,确保相应人员适时采取合适的解决方案,最大限度降低企业总体损失。
Source: (Tarun Sondhi)