報告數(shù)據(jù)泄露并非不可避免

報告數(shù)據(jù)泄露并非不可避免

又一天，又一次數(shù)據(jù)泄露。看似不可避免的成功攻擊會在infosec的專業(yè)人士中滋生出一種絕望的感覺。

但SANS研究所本周發(fā)表的一份白皮書說，他們不應(yīng)該放棄。該文件稱：“如今，員工和預(yù)算有限的大公司和小公司都采用了行之有效的技術(shù)，這些技術(shù)能夠抵御或避免大多數(shù)攻擊，并極大地減少成功的攻擊造成的傷害。

“例如，那些強調(diào)積極主動的安全努力以減少關(guān)鍵業(yè)務(wù)資產(chǎn)中的漏洞的組織，比那些沒有技能和工具來優(yōu)先和集中安全努力的組織更不可能遭受重大業(yè)務(wù)損害。成功的安全計劃不僅僅依靠更快的事故反應(yīng)來應(yīng)對傷害避免和減少的挑戰(zhàn)。”

建議中沒有什么新的內(nèi)容，但這篇文章提醒我們，采取眾所周知的步驟來避免某些漏洞和減輕其他許多漏洞將降低一個組織成為受害者的可能性。

把錢花在網(wǎng)絡(luò)安全上并不能證明一個組織正在變得更好。問問多倫多的副尼古拉斯·約翰斯頓...

投資建立安全運營中心的組織在網(wǎng)絡(luò)安全方面的投入越來越多，但是......

“關(guān)鍵是讓安全團隊了解業(yè)務(wù)影響，能夠用這些術(shù)語表達風(fēng)險，并能夠展示安全方面的改進如何導(dǎo)致可衡量的業(yè)務(wù)影響減少，”該報表示。“通過培養(yǎng)局勢意識(及時準確地了解我們需要保護什么、存在什么樣的脆弱性以及對這些目標有哪些真正的威脅)，并將其與優(yōu)先預(yù)防和緩解行動的工具和技術(shù)相結(jié)合，安全小組可以迅速采取行動，避免最具破壞性的事件，并以指數(shù)方式減少不可避免的事件對業(yè)務(wù)的損害。

本文提出的一個關(guān)鍵點是，深入防御-增加大量的層次和工具-不是一個解決方案。優(yōu)先安排工作人員資源和采購安全產(chǎn)品和服務(wù)，首先處理風(fēng)險最高和最常見的領(lǐng)域，是有效和高效的網(wǎng)絡(luò)安全的關(guān)鍵。

因此，例如，一個組織需要制定安全策略，創(chuàng)建一個基線(庫存硬件/軟件，發(fā)現(xiàn)您的漏洞)，評估風(fēng)險(并解決這些問題)，減輕風(fēng)險(通過補丁和變更管理)，消除風(fēng)險的根源(通過軟件分析、網(wǎng)絡(luò)體系結(jié)構(gòu)、意識培訓(xùn)、特權(quán)管理)，以及監(jiān)測和報告(通過事件響應(yīng)、日志安全分析)。

記錄和連接程序?qū)τ趧?chuàng)建可重復(fù)和適應(yīng)性強的安全流程至關(guān)重要。使用網(wǎng)絡(luò)安全框架(如NIST網(wǎng)絡(luò)安全框架、CIS關(guān)鍵安全控制、PCI數(shù)據(jù)安全標準優(yōu)先指導(dǎo)方針、健康信息信任聯(lián)盟(H IT RUST)共同安全框架)是重要的。事實上，SANS-像其他專家一樣-堅持認為，在前六個CIS控制之后(例如創(chuàng)建和維護硬件/軟件庫存和控制管理特權(quán))可以擊敗絕大多數(shù)真實世界的攻擊。

“識別、緩解和屏蔽漏洞所需的基本安全流程和控制措施是眾所周知的，”該文件說。”關(guān)于威脅和攻擊的信息并不缺乏。為了在預(yù)算和人員配置的現(xiàn)實約束下取得成功，網(wǎng)絡(luò)安全管理人員需要首先關(guān)注能夠跟上業(yè)務(wù)速度和攻擊快速演變的綜合流程，然后實施“武力倍增器”，以支持安全資源的準確和及時優(yōu)先排序。

“通過將資源集中于保護最關(guān)鍵的商業(yè)資產(chǎn)免受最具破壞性的潛在威脅，安全計劃可以避免許多違規(guī)行為，并大幅降低任何確實發(fā)生的業(yè)務(wù)影響。