隨著加密流量的監(jiān)控和SAP軟件及其他遺留應(yīng)用程序的升級變得越來越復(fù)雜,技術(shù)盲點會給CISO及其團隊帶來極大的信息安全挑戰(zhàn)。但是,還有其他一些網(wǎng)絡(luò)安全盲點涉及一些形態(tài)多樣的非技術(shù)概念,如企業(yè)風(fēng)險。幾位網(wǎng)絡(luò)安全專家和CISO有針對性地探討了一些他們所發(fā)現(xiàn)的隱藏風(fēng)險和漏洞,以及一些針對于企業(yè)安全的持續(xù)且日益嚴峻的威脅。
網(wǎng)絡(luò)安全盲點:漏洞與風(fēng)險
公司應(yīng)該如何處理漏洞呢?根據(jù)醫(yī)療公司Baxter International的醫(yī)療設(shè)備網(wǎng)絡(luò)安全技術(shù)主管Pavel Slavin的觀點,具體情況取決于公司所在的特定垂直行業(yè)。他說:“我們不能只是在周二下載和安裝微軟補丁——醫(yī)療設(shè)備必須在驗證補丁真正有效之后才能安裝補丁,否則它有可能會傷害病人的生命。我們需要能夠調(diào)整我們響應(yīng)可能造漏洞的方式,否則可能造成的危害大于好處。”
安全分析公司Niara的營銷副總裁John Dasher補充說:“檢測與保護技術(shù)往往作用范圍有限。我不建議中斷公司已經(jīng)在使用的技術(shù),但是要明確一點,在確認已知攻擊和理解攻擊方式之前,冒然引入其他技術(shù)很可能造成其中某個部分出現(xiàn)故障。新型未知攻擊通常可以輕松繞過保護技術(shù)。”
UC圣塔巴巴拉分校教授及Lastline CTO Giovanni Vigna在RSA Conference 2016召開后的一次訪問中警告說:“惡意軟件出現(xiàn),然后偷偷傳播,讓CISO半夜不得安寧。惡意軟件是指:各種有惡意企圖的東西,而且并非所有方法可以解決所有類型的惡意軟件。而且,許多攻擊都帶有多種成分,以繞過檢測,如將RTF隱藏在DOC中。”
此外,還有一些網(wǎng)絡(luò)安全盲點隱藏在風(fēng)險之中,因此要比一些技術(shù)漏洞更難量化和檢測。例如,第三方商業(yè)伙伴獲得了IT環(huán)境的哪些訪問權(quán)限?
在一次RSA小組會議上探討CISO及其所真實經(jīng)驗教訓(xùn)時,密歇根州Blue Cross Blue Shield的副總裁和CISO Tom Baltis建議說:“要引入基于風(fēng)險的項目,同時還要小心對待使用自動化的方式。你需要工具來建立與第三方的互信關(guān)系——商業(yè)關(guān)系在發(fā)展進步,信任關(guān)系也要隨之進步。”
Virginia Tech的CISO Randy Marchany給出了一些關(guān)于如何辨別和處理新軟件潛在風(fēng)險的建議。他說:“我們有一個采購調(diào)查表,如果一個部門想要采購軟件,那么供應(yīng)商必須先填寫這個調(diào)查表。如果某一個軟件是業(yè)務(wù)過程負責人要求使用的,那么我不會對他們說不能使用這個軟件,但是我們需要引入額外的控制措施來堵住這個漏洞。”
此外,Marchany指出,CISO一定要關(guān)注于最重要的部分——數(shù)據(jù)。例如,Marchany向CIO報告,后者再向總裁報告,并且每年向董事會匯報3~4次整體狀態(tài);但是顯然這仍然不夠。他指出,無論推薦的頻率有多高,“董事會仍然希望了解我們成功阻擋了哪些攻擊和最近漏過哪些攻擊。我可能會告訴他們,確實有一些攻擊進來了,但是它們并沒有偷到仍然數(shù)據(jù)。在報告成功的同時也一定要報告問題。”
在RSA大會關(guān)于使用國家機構(gòu)標準與技術(shù)(National Institute of Standards and Technology, NIST)的隱私風(fēng)險管理框架(Privacy Risk Management Framework)的小組會議上,美國衛(wèi)生與人類服務(wù)部的隱私事件管理及響應(yīng)主管Logan O'Shaughnessy指出,有些組織“提出這樣的問題……需要收集這些數(shù)據(jù)以滿足業(yè)務(wù)需求嗎?假設(shè)實際上并不需要存儲用戶信息。如果收集了這些數(shù)據(jù),即使經(jīng)過批準,只要你存儲了數(shù)據(jù),就有隱私風(fēng)險。”
O'Shaughnessy補充說:“我們的意外響應(yīng)團隊目前使用一個集中庫來管理安全和隱私事件,以幫助處理這些事件。然而,處理完一個安全事件,并不意味著與之相關(guān)的隱私事件也處理完畢——它還可能要求額外向民事權(quán)利局(Office for Civil Rights)報告。NIST是促成兩個團隊展開討論的中間跳板,從而將安全和隱私流程連接在一起。”
Dasher指出,始終將隱私風(fēng)險放在第一位,有利于幫助組織處理一個當今世界面臨的更大網(wǎng)絡(luò)安全盲點。Dasher說:“持續(xù)更新用戶、主機、IP、應(yīng)用程序等相關(guān)風(fēng)險配置,可以使安全團隊能夠?qū)ぷ鬟M行優(yōu)先級劃分,然后在問題完全暴發(fā)之前發(fā)現(xiàn)問題。最重要的是要有一些能夠可靠提供全面可見性的系統(tǒng)。”
Vigna指出,一些特殊部門和業(yè)務(wù)線特別容易出現(xiàn)數(shù)據(jù)漏洞,因此需要通過風(fēng)險評估來發(fā)現(xiàn)和解決這些問題。
他說:“工資、稅務(wù)填報人和法律部門可能成為公司的薄弱環(huán)節(jié)。這些服務(wù)通常都是外包的,保護措施不強,而且有可能給攻擊者提供非常完整的個人信息。”
小結(jié)
對于現(xiàn)在想知道自己工作還缺少什么的CISO而言,專家建議要關(guān)注這樣一個現(xiàn)實:CEO和主管團隊希望了解公司當前狀態(tài)與主流標準(如NIST或ISO)的差距,以及公司的安全成熟度在什么水平上。此外,他們還希望知道CISO已經(jīng)制定了應(yīng)對任何未知安全問題的計劃。
當公司開始辨別和處理這個問題時,大多數(shù)時候他們都會發(fā)現(xiàn)除了核心安全日志,其他方面還缺少全面的可見性。Dasher說:“掌握覆蓋所有相關(guān)安全數(shù)據(jù)源的聯(lián)動狀態(tài),再加上一層正確的行為分析技術(shù),才能在危急關(guān)頭絕處逢生。”
由于現(xiàn)實環(huán)境就得越來越復(fù)雜、分散和移動化,因此CISO不可能只通過內(nèi)部手段同來管理所有網(wǎng)絡(luò)安全問題。企業(yè)很可能需要將一部分工作外包給一個專業(yè)信息安全公司。
云安全供應(yīng)商Sumo Logic的安全與規(guī)范產(chǎn)品管理主管George Gerchow說:“不要犧牲安全性來謀求方便性。”
相反,CISO及其信息安全團隊應(yīng)該關(guān)于利用這些技巧和尋求外部支持手段來消除網(wǎng)絡(luò)安全盲點。