你的企業有這樣的網路安全盲點嗎?

玄學醬發表於2017-07-04

隨著加密流量的監控和SAP軟體及其他遺留應用程式的升級變得越來越複雜,技術盲點會給CISO及其團隊帶來極大的資訊保安挑戰。但是,還有其他一些網路安全盲點涉及一些形態多樣的非技術概念,如企業風險。幾位網路安全專家和CISO有針對性地探討了一些他們所發現的隱藏風險和漏洞,以及一些針對於企業安全的持續且日益嚴峻的威脅。

你的企業有這樣的網路安全盲點嗎?

  網路安全盲點:漏洞與風險

公司應該如何處理漏洞呢?根據醫療公司Baxter International的醫療裝置網路安全技術主管Pavel Slavin的觀點,具體情況取決於公司所在的特定垂直行業。他說:“我們不能只是在週二下載和安裝微軟補丁——醫療裝置必須在驗證補丁真正有效之後才能安裝補丁,否則它有可能會傷害病人的生命。我們需要能夠調整我們響應可能造漏洞的方式,否則可能造成的危害大於好處。”

安全分析公司Niara的營銷副總裁John Dasher補充說:“檢測與保護技術往往作用範圍有限。我不建議中斷公司已經在使用的技術,但是要明確一點,在確認已知攻擊和理解攻擊方式之前,冒然引入其他技術很可能造成其中某個部分出現故障。新型未知攻擊通常可以輕鬆繞過保護技術。”

UC聖塔巴巴拉分校教授及Lastline CTO Giovanni Vigna在RSA Conference 2016召開後的一次訪問中警告說:“惡意軟體出現,然後偷偷傳播,讓CISO半夜不得安寧。惡意軟體是指:各種有惡意企圖的東西,而且並非所有方法可以解決所有型別的惡意軟體。而且,許多攻擊都帶有多種成分,以繞過檢測,如將RTF隱藏在DOC中。”

此外,還有一些網路安全盲點隱藏在風險之中,因此要比一些技術漏洞更難量化和檢測。例如,第三方商業夥伴獲得了IT環境的哪些訪問許可權?

在一次RSA小組會議上探討CISO及其所真實經驗教訓時,密歇根州Blue Cross Blue Shield的副總裁和CISO Tom Baltis建議說:“要引入基於風險的專案,同時還要小心對待使用自動化的方式。你需要工具來建立與第三方的互信關係——商業關係在發展進步,信任關係也要隨之進步。”

Virginia Tech的CISO Randy Marchany給出了一些關於如何辨別和處理新軟體潛在風險的建議。他說:“我們有一個採購調查表,如果一個部門想要採購軟體,那麼供應商必須先填寫這個調查表。如果某一個軟體是業務過程負責人要求使用的,那麼我不會對他們說不能使用這個軟體,但是我們需要引入額外的控制措施來堵住這個漏洞。”

此外,Marchany指出,CISO一定要關注於最重要的部分——資料。例如,Marchany向CIO報告,後者再向總裁報告,並且每年向董事會彙報3~4次整體狀態;但是顯然這仍然不夠。他指出,無論推薦的頻率有多高,“董事會仍然希望瞭解我們成功阻擋了哪些攻擊和最近漏過哪些攻擊。我可能會告訴他們,確實有一些攻擊進來了,但是它們並沒有偷到仍然資料。在報告成功的同時也一定要報告問題。”

在RSA大會關於使用國家機構標準與技術(National Institute of Standards and Technology, NIST)的隱私風險管理框架(Privacy Risk Management Framework)的小組會議上,美國衛生與人類服務部的隱私事件管理及響應主管Logan O`Shaughnessy指出,有些組織“提出這樣的問題……需要收集這些資料以滿足業務需求嗎?假設實際上並不需要儲存使用者資訊。如果收集了這些資料,即使經過批准,只要你儲存了資料,就有隱私風險。”

O`Shaughnessy補充說:“我們的意外響應團隊目前使用一個集中庫來管理安全和隱私事件,以幫助處理這些事件。然而,處理完一個安全事件,並不意味著與之相關的隱私事件也處理完畢——它還可能要求額外向民事權利局(Office for Civil Rights)報告。NIST是促成兩個團隊展開討論的中間跳板,從而將安全和隱私流程連線在一起。”

Dasher指出,始終將隱私風險放在第一位,有利於幫助組織處理一個當今世介面臨的更大網路安全盲點。Dasher說:“持續更新使用者、主機、IP、應用程式等相關風險配置,可以使安全團隊能夠對工作進行優先順序劃分,然後在問題完全暴發之前發現問題。最重要的是要有一些能夠可靠提供全面可見性的系統。”

Vigna指出,一些特殊部門和業務線特別容易出現資料漏洞,因此需要通過風險評估來發現和解決這些問題。

他說:“工資、稅務填報人和法律部門可能成為公司的薄弱環節。這些服務通常都是外包的,保護措施不強,而且有可能給攻擊者提供非常完整的個人資訊。”

小結

對於現在想知道自己工作還缺少什麼的CISO而言,專家建議要關注這樣一個現實:CEO和主管團隊希望瞭解公司當前狀態與主流標準(如NIST或ISO)的差距,以及公司的安全成熟度在什麼水平上。此外,他們還希望知道CISO已經制定了應對任何未知安全問題的計劃。

當公司開始辨別和處理這個問題時,大多數時候他們都會發現除了核心安全日誌,其他方面還缺少全面的可見性。Dasher說:“掌握覆蓋所有相關安全資料來源的聯動狀態,再加上一層正確的行為分析技術,才能在危急關頭絕處逢生。”

由於現實環境就得越來越複雜、分散和移動化,因此CISO不可能只通過內部手段同來管理所有網路安全問題。企業很可能需要將一部分工作外包給一個專業資訊保安公司。

雲安全供應商Sumo Logic的安全與規範產品管理主管George Gerchow說:“不要犧牲安全性來謀求方便性。”

相反,CISO及其資訊保安團隊應該關於利用這些技巧和尋求外部支援手段來消除網路安全盲點。

====================================分割線================================

本文轉自d1net(轉載)


相關文章