目前,主动安全策略应用的主要问题是误报率高、实施难度大、可管理性差,导致主动安全技术需求旺盛,但真正成功应用的项目还很有限。尽管被动安全任务的需求会长期存在,但企业应该从现在开始积极尝试采取更积极的措施,实现更智能、更主动的安全防护策略,从而更好地保护组织的数字资产。研究人员认为,企业在应用主动安全防护策略时,应该重点关注是否具备以下8个前提条件。
1、做好资产梳理和发现
为了制定积极主动的网络安全策略,CISO需要先了解自己有什么资产,知道什么需要最高级别的保护,并认识到组织愿意接受的风险。这可帮助CISO确定哪些威胁对组织构成最大的风险,因此需要给予最大的关注。
积极主动的网络团队了解本组织的风险状况,能识别组织尚未面临的风险。这是能够防止攻击发生的一个关键因素,因为他们知道需要保护什么对象,能全面考虑到所有薄弱环节。
CISO需要长期做好这项工作,需要持续识别风险,并深入了解贵组织的攻击面。
2、拥有强大的身份安全措施
研究人员认为,积极主动的安全团队不仅需要深入了解其IT环境和组织的风险状况,还需要具有强大的身份安全管控措施,可以清晰了解对哪些用户、哪些设备正在访问其网络及相关业务系统。多因素身份验证等策略有助于确保只有授权用户才能访问企业IT环境,阻止非法用户的侵入。
有许多CISO已经在落实严格的身份验证要求,这也是他们向零信任架构转变的一部分。在这种架构中,所有用户(包括人和设备)在获得访问权之前必须验证自己的身份。零信任还更进一步:它另外限制已验证身份的用户只能访问他们工作所需的那些系统和数据。遵循这种最小权限原则将是安全团队由被动响应事件转向主动安全防御的一个标志。
3、提升快速应变能力
让防御措施启动在黑客发起攻击前的另一个关键是,安全团队应具有比攻击者更快速的应变能力。为此,积极主动的安全团队需要采用以攻击为中心的思维,避免那些按部就班的公式化安全能力建设,不断完善实战化安全能力构建,学会从攻击者的角度思考问题。网络攻击没有标准模式,因此可靠的主动防御能力也是需要随机应变的,才可以应对层出不穷的威胁。
4、持续性的安全监测
积极主动的安全策略需要对信息化运营的各种关键参数进行持续性的监测,及时发现可疑的行为和活动。安全团队可以使用SaaS化的安全工具,或与托管安全服务商共同完成系统运营监测工作。这种监测可以让安全团队及早留意各种威胁:黑客企图利用被欺骗的网站、被劫持的公司商标及其他形式的社会工程攻击,从而使安全团队有时间采取对策,最大程度遏制这些攻击企图。
5、主动搜寻威胁
积极主动地搜寻威胁是主动安全策略落地的一个重要因素。对安全风险的识别滞后一直是行业老大难问题,为了解决这个问题,企业安全团队需要转向主动搜寻威胁,在数据泄密或勒索攻击发生之前找到潜伏在其IT环境中的恶意程序或攻击线索,这可以从技术角度(攻击途径)和漏洞利用者(黑客)这两方面来结合推断。
据SANS2022年威胁搜寻调查显示,85%的受访企业表示,威胁搜寻改善了本组织的安全状况。与此同时,专家们表示,使用机器学习和人工智可以帮助企业安全团队更快速地发现威胁,这个比例有望进一步提高。安全专业人员可得益于机器学习识别模式和预测结果的能力,这种技术提供了前所未有的可见性。这让网络团队可以迅速扩大规模,尽早识别威胁,并比以往更快地对付攻击。
6、高效的漏洞管理计划
高效的漏洞管理计划可以识别组织中存在哪些已知漏洞,并优先修补风险最高的漏洞,这是形成良好安全策略的重要标志。为了保障主动安全策略的施行,安全团队应更进一步,为漏洞管理计划添加漏洞搜寻功能。漏洞管理计划主要专注于解决已发现的问题,而漏洞搜寻则要求安全团队主动发现未知的安全隐患,比如不安全的软件代码或其IT系统种的错误配置。安全专家建议,CISO应定期进行渗透测试,以找出存在的安全薄弱环节,并制定漏洞披露和悬赏计划,以鼓励和奖励员工主动搜寻、发现和修复相关的漏洞问题。
7、实战化的攻防演练
积极主动的安全团队会定期开展实战化的攻防演练,评估攻击得逞后己方如何响应和应对,这种演练也可以采用沙盘演练的方式。由于演练会设想并验证攻击会如何发生,它们可以帮助安全团队识别现有安全计划的不足。然后,组织可以有针对性的缩小差距,阻止设想种的事件场景发生。攻防演练还有助于发现事件响应方案存在的不足,帮助安全团队弥补这些不足。这种演练还可以为团队成员建立“肌肉记忆”,一旦类似事件发生,组织可以更迅速、更高效地行动,从而将破坏降到最低。
8、防患于未然
高瞻远瞩、洞察未来很重要。积极主动的安全策略应该着眼于发现并掌握应用新兴的安全技术、产品和标准;此外,应根据企业实际需求,尽快将这些新方法融入到企业安全战略和实施计划中。这样可以让安全部门在新威胁变化出现之前做好准备。比如说,很多企业已经在考虑量子计算会如何影响他们的安全计划,确定哪些当前的安全措施会失去成效,并确定新的保护措施。积极主动的安全团队现在应考虑所有这些问题,他们要为多年后的威胁场景提前制定路线图。