信息安全專(zhuān)家告訴我們 基本衛(wèi)生仍然是網(wǎng)絡(luò)安全的核心

在加拿大一些大公司從事網(wǎng)絡(luò)安全21年的職業(yè)生涯中，Vivek Khindria見(jiàn)證了潮流的起起伏伏。但他在周二的一次會(huì)議上表示，做好基礎(chǔ)工作仍是確保企業(yè)安全的最重要部分。

在多倫多舉行的年度國(guó)際網(wǎng)絡(luò)風(fēng)險(xiǎn)管理會(huì)議(International cyber risk Management Conference)上，洛布洛公司(Loblaw Companies)網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)副總裁欣德里亞(Khindria)表示:“衛(wèi)生是根本?！?/p>

“許多公司被最新的銀彈技術(shù)分散了注意力，忘記了基本面:供應(yīng)商管理、資產(chǎn)管理、了解你的王冠上的寶石在哪里，等等。”

Khindria和另一位小組成員、戴爾公司的副首席技術(shù)官Nick Steele一起參加了一個(gè)關(guān)于安全從業(yè)人員觀點(diǎn)的小組討論，他們的建議包括衛(wèi)生、如何與董事會(huì)溝通以及人工智能在安全領(lǐng)域的前景。

衛(wèi)生問(wèn)題是由主持人Doug Howard提出的，他是RSA的全球服務(wù)副總裁，他指出今天許多數(shù)據(jù)泄露并沒(méi)有復(fù)雜的原因，但是可以歸咎于補(bǔ)丁管理和開(kāi)放端口等問(wèn)題。

除了衛(wèi)生，Khindria說(shuō)，他認(rèn)為確保企業(yè)安全的首要任務(wù)包括尋找IT安全人才，包括讓更多的女性進(jìn)入IT部門(mén)，使部門(mén)多樣化。

專(zhuān)家們正在向一些機(jī)構(gòu)發(fā)出警告，稱(chēng)他們必須圍繞這些基礎(chǔ)工作(包括對(duì)網(wǎng)絡(luò)上的所有東西進(jìn)行準(zhǔn)確的盤(pán)點(diǎn))來(lái)構(gòu)建網(wǎng)絡(luò)安全戰(zhàn)略。但如果…

鑒于網(wǎng)絡(luò)安全意識(shí)月，我認(rèn)為這可能是有用的高管看到一個(gè)可采取行動(dòng)的名單…

另一個(gè)問(wèn)題是許多公司轉(zhuǎn)向敏捷軟件開(kāi)發(fā)，在一個(gè)或兩個(gè)星期的工作沖刺之后，進(jìn)行小的增量更改來(lái)修復(fù)問(wèn)題。他指出，敏捷給安全和風(fēng)險(xiǎn)帶來(lái)了壓力。

此外，云服務(wù)的使用也在不斷增加。他說(shuō)，在很多情況下，云就是新的影子IT。他指的是員工悄悄注冊(cè)未經(jīng)批準(zhǔn)的服務(wù)。

不過(guò)，“我毫不猶豫地說(shuō)，除了大型銀行或大型組織之外，云架構(gòu)的安全性潛力比任何組織都要高得多。大多數(shù)公司沒(méi)有足夠的資源來(lái)應(yīng)對(duì)所有的復(fù)雜情況，所有的資源，技術(shù)……來(lái)保持衛(wèi)生，以應(yīng)對(duì)我們所看到的威脅?！?/p>

他補(bǔ)充說(shuō)，云提供商正在競(jìng)相在默認(rèn)情況下提供更多的安全性。

斯蒂爾并不反對(duì)衛(wèi)生很重要，但他說(shuō)，衛(wèi)生必須有一定的背景:組織最關(guān)心的是什么，如何保護(hù)它?所以對(duì)他來(lái)說(shuō)，衛(wèi)生是風(fēng)險(xiǎn)管理的一部分。他說(shuō)，確定你的底線(xiàn)，這樣你就可以在整個(gè)企業(yè)中實(shí)施衛(wèi)生措施。

由于補(bǔ)丁如此重要，Howard不禁要問(wèn)CSO如何決定補(bǔ)丁的優(yōu)先級(jí)。

“每家公司都需要建立自己的威脅模型，”欣德里亞回答。例如，如果持有公司“皇冠上的寶石”的資產(chǎn)是優(yōu)先考慮的，那么想想是誰(shuí)在攻擊它們，為什么要攻擊它們，有哪些減輕措施。

“當(dāng)你開(kāi)始計(jì)算漏洞時(shí)，你就陷入了一個(gè)陷阱，”他說(shuō)。但威脅模型將是設(shè)定補(bǔ)丁優(yōu)先級(jí)的指南。

環(huán)境也是一個(gè)因素，他補(bǔ)充道。如果一家公司有12臺(tái)虛擬服務(wù)器，那么6臺(tái)服務(wù)器可以在不停機(jī)的情況下通過(guò)補(bǔ)丁關(guān)閉。然后把它們提出來(lái)，對(duì)后面的6個(gè)進(jìn)行修補(bǔ)。在虛擬環(huán)境中，“人們的愿望是更快地修補(bǔ)，冒更大的風(fēng)險(xiǎn)，因?yàn)槟憧梢愿斓匦迯?fù)它”。

漏洞掃描只是CSO工具的一部分，他說(shuō)，其中包括滲透測(cè)試、代碼掃描、日志分析、行為分析——所有這些都有助于檢測(cè)異常，同樣，也是補(bǔ)丁決策的因素。數(shù)據(jù)需要以自動(dòng)化的方式編織在一起?！叭绻麤](méi)有這種儀器，如果你管理著數(shù)千臺(tái)服務(wù)器，你永遠(yuǎn)都趕不上?！?/p>

他補(bǔ)充道，Loblaws通常每周會(huì)合成10億件物品，并將其濃縮為30件可操作的物品。

斯蒂爾說(shuō)，風(fēng)險(xiǎn)管理是一個(gè)好的決策，“但你不可能把所有事情都決定下來(lái)?！叭绻考露甲兂梢粋€(gè)冒險(xiǎn)的決定，你最終會(huì)陷入癱瘓……如果你知道什么是重要的，那就明確你的計(jì)劃并堅(jiān)持下去。”

在與董事會(huì)和非技術(shù)經(jīng)理打交道時(shí)，兩人都強(qiáng)調(diào)了公民社會(huì)組織學(xué)習(xí)如何使用非技術(shù)語(yǔ)言的重要性。

斯蒂爾說(shuō):“如果你不學(xué)習(xí)商務(wù)語(yǔ)言，不學(xué)習(xí)用他們能理解的語(yǔ)言與他們交流，你很快就會(huì)失去那些聽(tīng)眾。”

Khindria同意了?！拔以行抑笇?dǎo)過(guò)數(shù)百人(進(jìn)行安全管理)，我可以說(shuō)，最優(yōu)秀的安全人員都具有商業(yè)頭腦，因?yàn)樽钪匾氖悄軌蚺c企業(yè)溝通……學(xué)習(xí)安全比較容易，學(xué)習(xí)業(yè)務(wù)比較困難。”

最后，Khindria說(shuō)，將加拿大在人工智能方面的專(zhuān)業(yè)知識(shí)與當(dāng)前計(jì)算平臺(tái)的能力相結(jié)合，應(yīng)該會(huì)使加拿大成為減輕infosec團(tuán)隊(duì)負(fù)擔(dān)的領(lǐng)導(dǎo)者。

“讓我感到興奮的是，它(人工智能)進(jìn)入了下一個(gè)階段，”他將其定義為將異常檢測(cè)與欺詐檢測(cè)聯(lián)系起來(lái)?！拔艺J(rèn)為我們即將迎來(lái)偉大的時(shí)刻。持續(xù)的監(jiān)控、持續(xù)的測(cè)試和持續(xù)的分析是一個(gè)前所未有的機(jī)會(huì)。”