组织要实现弹性,就要能够在保持业务正常运行的同时,管理各种变化。这些变化包括积极的变化(例如收购新的合作伙伴),也包括不利的变化(例如遭到针对性的网络攻击)。
对于安全团队,第一步始终是制定计划。使用基于风险的方法来分析威胁、漏洞、可能性和影响,这些都是全面防范风险时不可忽视的问题。为便于了解风险,不妨考虑以下潜在场景:假设出现了一种威胁,那么企业随即就要评估受此威胁影响的可能性,最后确定可以如何阻止各种漏洞并减少影响。企业应当围绕这些场景来制定连续性和恢复计划。
越来越多的首席信息安全官 (CISO) 开始思考,如何在面对其他非威胁性变化时,保持高水平的业务连续性。平衡风险与机会、可控性与适应能力,例如管理外部顾问团队的安全部署,或者确保在不增加风险的情况下引入新的系统服务供应商,这些都是打造弹性企业需要注意的事项。
在整个组织中,获得各个领导团队的支持。这不是一种技术或安全问题,而是一项业务挑战。
积极取得董事会对弹性战略的支持。
确保建立相应的流程,并让所有利益相关方贯彻执行。
不断发掘通用威胁情报,以及针对特定行业的威胁情报。
引入灵活的技术,建立更清晰的资产可视性,并集中实施新的政策和控制措施。
弹性是指采用基于风险的方法来提升企业承受风险的能力。作为主题专家,安全主管应当与 CIO 和/或董事会一同明确风险并确定如何应对,从而帮助组织做出明智的决策。
如果采取预防措施需要耗费数百万美元,而发生安全事件造成的总损失只有数千美元,那么在决策时也应当考虑这一情况,接受风险并不一定就是错误的。然而,这不仅关乎财务,还关乎声誉,以及数据泄露可能造成的长期影响。应当综合考虑所有因素,然后再做出决策,确定组织可以承受(以及无法承受)哪些风险。
此外,请列出一份必备的顶级核心资产清单,以及短期内非必需的资产清单。随后,根据威胁模型,制定分层安全策略。我们无法总是为每一项资产都建立最高级别的安全保护。
任何 CISO 都不可能拥有无限的预算或资源。您无法为所有事物提供面面俱到的保护。但这也没有关系。您的目标是,保护组织最重要的核心资产以及任何相关事物。采用这种方式,您可以为自己的组织构筑弹性,并尽快继续积极贯彻这一安全实践。
弹性意味着,企业能够管理所面临的威胁,而不会在威胁实际产生危害时很快土崩瓦解。企业应当结合保护措施与事件响应计划,来实现弹性。
实现弹性的第一步是,意识到企业所面临的威胁。如果对这些威胁的性质一无所知,也就无法采取有效的保护措施。成功建立弹性的基础是了解威胁和企业自身的缺陷。
利用这些知识,您就可以采取保护措施来降低你们遭受威胁影响的可能性,并确保在威胁实际产生危害时尽可能降低影响。
但是,必须要承认,任何保护措施都无法实现全面覆盖,而且我们也无法完全预测威胁会如何变化和发展。因此,我们需要做好充分准备,确保在威胁产生影响时迅速有效地采取响应措施。
请确保企业的系统没有单点故障,这样即便某个组件因受到攻击而停止运行,业务也可以继续保持运行。通过进行计划和事件响应演练,我们可以尽快针对威胁采取补救措施并恢复正常运营。
作为一名安全顾问,在评估弹性时,我的一个关注点是组织在数据分类、身份和访问管理等领域所采取的实践。我需要从安全的角度来评估这些环节的整体设计,判断它们是否合理。
在任何组织中实现弹性最有效的一种方法就是建立团队理念,这不是组建一个真正的企业团队,而是基于协作环境建立一个非正式的团队。
这一点很重要,因为每个人都不再是单兵作战。
例如,当我与开发人员配合开展工作时,他们需要敏锐地意识到开发应用不仅仅要注重功能,而且还要关注安全性 - 也就是说,让客户可以安全地使用各种应用与我们开展业务。
为了提升安全弹性,请确保组织针对严格的安全要求制定了共同愿景和行动方案,并确保适时完成渗透测试、代码扫描和数据分类。
我很高兴,安全专业人员能够为项目带来实际帮助。这与传统的安全业务流程有所不同。通过与安全专业人员沟通,企业可以从一开始就在项目中设计相应安全方案。这将避免以后,尤其是在发生事件之后,临时再去建立安全方案,从而建立弹性。
一个值得积极投入时间的重要方面是,确保能够在适当的情景中获取准确且切实可行的威胁情报。这可能会存在很大的难度,因为许多不同的供应商和工具都会提供详尽的威胁情报,但通常无法为这些信息建立关联并提供更广泛的情景信息。例如,在当今全球动荡的形势下,从地缘政治的角度来预测网络犯罪变得非常重要。
能够提供情景信息,就能为企业创造更大的切实价值。如果您可以根据现实世界中发生的事件向高管们展示服务交付、运营和关键功能所面临的威胁,他们就会看到您所开展工作的重要性。这能够让领导层确信企业处于弹性状态。
构筑弹性的一个重要方面是专注于与企业业务相符的活动。通过演习来测试弹性固然很好,但近年来出现了一些新的办公模式,各种框架介绍的演习活动在当前可能价值并不高。
“通过演习来测试弹性固然很好, 但近年来出现了一些新的办公模式, 各种框架介绍的演习活动在当前可能 价值并不高。”
一种更好的方法是关注其他企业遭受攻击的反面案例,并尝试确保您所开展的弹性活动契合现实形势,专注于那些最有可能影响您的行业,尤其是影响您的组织的事件。您可以充分利用这些真实案例,检验您的企业弹性。
再进一步思考,如今勒索软件已非常普遍,应当如何测试针对勒索软件的弹性?这就需要关注,大多数组织主要受到哪种类型的勒索软件攻击?这些勒索软件变种是针对特定的行业和特定的组织吗?您如何充分利用这些信息?您可以如何据此制定弹性演习模式,利用类似企业的经验来解决现实中的问题?
在许多情况下,不同业务团队之间会存在很明显的脱节。您可能正在开展针对勒索软件的弹性演习,但一些业务团队并不了解系统的技术细节,不知道勒索软件是什么,也不知道勒索软件对工作流程有哪些影响。但是,当您展示各种威胁可能导致服务中断,或者攻击者可能窃取或侵占你们的数据时,参与这些弹性活动的利益相关方就可以准确了解这些威胁会对企业造成哪些实质性损害。
或者,他们可以确定某些功能可在短时间内停止,而不会对业务造成损害。通过在业务与技术之间建立这种清晰的关联,此类弹性活动将创造更大的价值。
弹性的概念远大于安全性,但安全性当然也是一个非常关键的要素。如果说企业弹性是一盘棋,那安全性就是将或帅。如果我们的流程崩溃并且永远无法恢复,游戏也就结束了。但我们身边有各种不同专业的人员,他们都将采取各自的措施来保护整个组织。要保护的领域非常多,但措施却极为有限,我们必须要进行缜密谋划。也正是因此,许多企业开始采取基于风险的安全方案。
例如,我有一台未包含关键信息的服务器。但是,该服务器有一个已知漏洞需要修补。它是我们用于 DevOps 的后端服务器。您还拥有一台相同的服务器,存在相同的漏洞,但它是面向互联网的,并且其中包含客户数据。
尽管具有相同的漏洞,但我们所面临的风险是不同的。有的风险补救需求具有更高的优先级。
我们的精力非常有限,因此需要专注于最重要的事项。优先解决关键问题,然后制定计划,逐步清除其他可能存在的漏洞。为此,作为一家独一无二的组织,您需要基于预测的准确的威胁情报。这种基于优先级的弹性建设将解决我们过去遇到的许多安全运营问题。
“我们的精力非常有限...优先解决关键 问题,然后制定计划,逐步清除其他 可能存在的漏洞。”
