前任美國陸軍網絡司令部安全運營中心負責人就抵御攻擊者入侵議題分享了他的經驗與慘痛教訓。“從立場角度出發,負責運行緊急響應團隊與扮演安全運營中心主管角色之間存在著顯著差別。我將后者稱為一種“記者席”類型的網絡安全視角,而這一結論源自我在美國陸軍網絡司令部的安全運營中心擔任負責人以及近來在FireHost公司擔任CSO職務時積累到的所見所聞。”
在扮演上述角色的過程中,我的任務并非承擔特定基礎設施的安全保障工作,但這些工作經歷卻讓我開始意識到大部分從業者在處理安全事務時采取的都是“防御 姿態”。有鑒于此,我開始記錄下那些導致我的團隊遭遇安全違規事故的本質原由。而從這些原由當中,我發現了安全運營中心領域最為常見的五大陷阱。
陷阱一:采取集中化規劃與執行方式
為數眾多的大型跨國企業希望能夠以集中化方式實現安全事務的規劃與執行。在這種情況下,無論大家向其中投入多少人工智能以及計算資源,由此帶來的大數據處理難題都不可能得到有效解決。
我們在美國陸軍全球安全運營中心內采取的方案是以集中化方式處理規劃、但以分散方式將其付諸執行。我們的全球安全運營中心會根據威脅調查結果推出相應防 御對策,但具體執行權則被交給各區域安全運營中心——包括運用這些威脅指標并對其區域內部安全堆棧提供的警報信息加以管理。各區域團隊也擁有充分的靈活性 對具體安全態勢做出調整,這就確保了其能夠在必要的情況下擁有高于全球基準的針對性應對措施。安全信息與事件管理(簡稱SIEM)數據會被傳輸至全球安全 運營中心并作為分析素材。然而,各區域安全運營中心會首先對SIEM事件進行過濾、同時清除混雜于其中的虛假警報。
陷阱二:將安全運營中心的任務與責任外包出去
具體來講,我曾經親眼見證過兩大主要趨勢:企業通過外包方式管理安全服務供應商以及/或者采取離岸外包將安全運營中心事務交由高價值區域的合作方處理。 就其本身而言,把一部分安全運營中心事務交由第三方負責并不是什么大問題。其中的關鍵就在,我們絕不該把安全運營的相關職責移交給其它服務供應商——這種 模式根本起不到理想中的效果。一家企業能夠也應該將警報以及其它部分安全設備管理工作外包出去,但安全運營中心對于此類警報的管理能力必須牢牢掌握在內部 團隊手中。我懷疑這正是企業在將安全運營中心加以外包時希望得到的結果,但只有具備專業知識的內部人員才有能力根據錯誤警報采取對應行動、從而選擇將其忽 略或者通過重新分配實現成本節約戰略。我建議每一個安全事務團隊都盡可能將緊急事件處理流程保留在企業內部環境當中。
陷阱三:堅信單靠技術本身已經足以提供有效的安全保障
盡管選擇正確的技術方案非常重要,但經過良好培訓的工作人員以及正確的技術利用方式也擁有同樣關鍵的地位。我曾經同我自己的團隊分享過這樣一種觀點: “老虎伍茲能夠用我的高爾夫桿打出出色的成績,但我卻沒辦法用他的球桿打出世界一流水平。”其中的核心在于,大家必須高度關注如何對安全工具加以利用、同 時依靠方法性方案對來自這些工具的處理結果進行分析。如果我們認真解讀過去幾年內發生過的全部主要安全違規事故,就會發現大部分違規早已被技術方案檢測出 來,只不過沒有合適的人員以及流程能夠及時加以解決。不要妄想利用購買新型技術產品來替代員工培訓以及流程開發,這樣的戰略方針注定會遭受失敗。
陷阱四:把事件管理與問題管理混為一談
我拜訪過的很多安全運營中心——包括軍方及民用組織——都會引入大量行動,但卻沒能找到真正的執行方向或者需要實現的目標。他們擁有豐富的數據分析與開 啟支持能力,但卻沒有討論過該如何搶在威脅發生之前采取行動并降低自身攻擊面。在我為美國軍方承擔安全管理事務之前,我曾經擔任過CIO職務并效力于基礎 設施供應商,這讓我對于大部分IT服務供應商所采用的ITILv3框架非常熟悉。我注意到,絕大多數安全團隊能夠實現基本的突發事件管理,但卻無法真正理 解事件管理與問題管理之間的區別。
如果大家正在尋求正確的衡量指標并進行趨勢分析,就會清楚地認識到安全控制與策略是在何時失去效果的。幾乎沒有多少安全團隊能夠為此類分析提供足夠的傳輸帶寬,也正是因為如此,作為威脅根源的惡意攻擊者才能利用同樣的技術、戰略以及規程在安全破壞活動中取得成功。
陷阱五:對一切對象加以保護(在多數情況下,保護一切意味著毫無保護)
惡意攻擊者可能只對全部數據及基礎設施體系中約2%內容感興趣,但他們會利用其余98%作為跳板來獲得訪問這2%內容的能力。一部分最具創新能力的 CIO拿出了自己的解決方案,這也是我目前為止見過的最為睿智的安全策略——他們將自己的網絡視為“有爭議的空間”而非被嚴密保護在堅固城墻當中的堡壘。 這些創新推動者們會積極對自身網絡進行細化拆分,并將最有價值的數據、應用程序以及VIP用戶遷移到安全保障能力更強、更為可靠的基礎設施體系當中。事實 上,我們的大部分客戶會把其難于保護的規范化數據及應用程序交由強大的云服務供應商負責,從而保證這些關鍵性資產能夠得到高度專注的重視及嚴格保護。
我們在自有安全運營工作當中采取的另一項舉措在于將安全性與漏洞管理精力集中在已經確定的“關鍵性區域”當中。過去十年以來,安全威脅的起效流程并沒有 出現太大的變化。一般而言,惡意攻擊者會入侵主機、提升權限,然后尋找機會對受害者的基礎設施加以利用、使其反過來成為攻擊用戶的武器。我們的方案則旨在 確保此類基礎設施,例如Active Directory、軟件分發系統以及其它關鍵性區域,擁有更理想的安全保障水平、并對威脅活動進行定期審計。
當然,這五種常見陷阱還無法代表我們在實際工作中可能遇到的全部狀況。不過這些正是我的安全團隊選擇重點投入并加以高度關注的層面。我們的目標在于保護自己的關鍵性資產、在其遭受入侵時快速掌握情況并利用實時舉措對威脅加以遏制甚至是消除。如果有朋友堅持認為自己的目標在于創建一套完美的安全環境,那么 我得先潑一盆冷水:這種方案壓根就不存在。然而,如果大家能夠利用明智的安全運營機制——其中集合了正確的人員、正確的流程以及正確的技術方案——盡可能 縮小受攻擊面,那么我們的這套防御體系將對惡意攻擊者的技術水平提出嚴峻挑戰。換句話來說,絕大部分攻擊者只能放棄嘗試,轉而尋常那些更容易對付的攻擊目 標。
京公網安備 11010502049343號