隨著加密流量的監控和sap軟體及其他遺留應用程式的公升級變得越來越複雜,技術盲點會給ciso及其團隊帶來極大的資訊保安挑戰。但是,還有其他一些網路安全盲點涉及一些形態多樣的非技術概念,如企業風險。幾位網路安全專家和ciso有針對性地**了一些他們所發現的隱藏風險和漏洞,以及一些針對於企業安全的持續且日益嚴峻的威脅。
網路安全盲點:漏洞與風險
安全分析公司niara的營銷副總裁john dasher補充說:「檢測與保護技術往往作用範圍有限。我不建議中斷公司已經在使用的技術,但是要明確一點,在確認已知攻擊和理解攻擊方式之前,冒然引入其他技術很可能造成其中某個部分出現故障。新型未知攻擊通常可以輕鬆繞過保護技術。」
uc聖塔巴巴拉分校教授及lastline cto giovanni vigna在rsa conference 2016召開後的一次訪問中警告說:「惡意軟體出現,然後偷偷傳播,讓ciso半夜不得安寧。惡意軟體是指:各種有惡意企圖的東西,而且並非所有方法可以解決所有型別的惡意軟體。而且,許多攻擊都帶有多種成分,以繞過檢測,如將rtf隱藏在doc中。」
此外,還有一些網路安全盲點隱藏在風險之中,因此要比一些技術漏洞更難量化和檢測。例如,第三方商業夥伴獲得了it環境的哪些訪問許可權?
在一次rsa小組會議上**ciso及其所真實經驗教訓時,密西根州blue cross blue shield的副總裁和ciso tom baltis建議說:「要引入基於風險的專案,同時還要小心對待使用自動化的方式。你需要工具來建立與第三方的互信關係——商業關係在發展進步,信任關係也要隨之進步。」
virginia tech的ciso randy marchany給出了一些關於如何辨別和處理新軟體潛在風險的建議。他說:「我們有乙個採購調查表,如果乙個部門想要採購軟體,那麼**商必須先填寫這個調查表。如果某乙個軟體是業務過程負責人要求使用的,那麼我不會對他們說不能使用這個軟體,但是我們需要引入額外的控制措施來堵住這個漏洞。」
此外,marchany指出,ciso一定要關注於最重要的部分——資料。例如,marchany向cio報告,後者再向總裁報告,並且每年向董事會匯報3~4次整體狀態;但是顯然這仍然不夠。他指出,無論推薦的頻率有多高,「董事會仍然希望了解我們成功阻擋了哪些攻擊和最近漏過哪些攻擊。我可能會告訴他們,確實有一些攻擊進來了,但是它們並沒有偷到仍然資料。在報告成功的同時也一定要報告問題。」
在rsa大會關於使用國家機構標準與技術(national institute of standards and technology, nist)的隱私風險管理框架(privacy risk management framework)的小組會議上,美國衛生與人類服務部的隱私事件管理及響應主管logan o'shaughnessy指出,有些組織「提出這樣的問題……需要收集這些資料以滿足業務需求嗎?假設實際上並不需要儲存使用者資訊。如果收集了這些資料,即使經過批准,只要你儲存了資料,就有隱私風險。」
o'shaughnessy補充說:「我們的意外響應團隊目前使用乙個集中庫來管理安全和隱私事件,以幫助處理這些事件。然而,處理完乙個安全事件,並不意味著與之相關的隱私事件也處理完畢——它還可能要求額外向民事權利局(office for civil rights)報告。nist是促成兩個團隊展開討論的中間跳板,從而將安全和隱私流程連線在一起。」
dasher指出,始終將隱私風險放在第一位,有利於幫助組織處理乙個當今世界面臨的更大網路安全盲點。dasher說:「持續更新使用者、主機、ip、應用程式等相關風險配置,可以使安全團隊能夠對工作進行優先順序劃分,然後在問題完全暴發之前發現問題。最重要的是要有一些能夠可靠提供全面可見性的系統。」
vigna指出,一些特殊部門和業務線特別容易出現資料漏洞,因此需要通過風險評估來發現和解決這些問題。
他說:「工資、稅務填報人和法律部門可能成為公司的薄弱環節。這些服務通常都是外包的,保護措施不強,而且有可能給攻擊者提供非常完整的個人資訊。」
小結
對於現在想知道自己工作還缺少什麼的ciso而言,專家建議要關注這樣乙個現實:ceo和主管團隊希望了解公司當前狀態與主流標準(如nist或iso)的差距,以及公司的安全成熟度在什麼水平上。此外,他們還希望知道ciso已經制定了應對任何未知安全問題的計畫。
當公司開始辨別和處理這個問題時,大多數時候他們都會發現除了核心安全日誌,其他方面還缺少全面的可見性。dasher說:「掌握覆蓋所有相關安全資料來源的聯動狀態,再加上一層正確的行為分析技術,才能在危急關頭絕處逢生。」
由於現實環境就得越來越複雜、分散和移動化,因此ciso不可能只通過內部手段同來管理所有網路安全問題。企業很可能需要將一部分工作外包給乙個專業資訊保安公司。
雲安全**商sumo logic的安全與規範產品管理主管george gerchow說:「不要犧牲安全性來謀求方便性。」
相反,ciso及其資訊保安團隊應該關於利用這些技巧和尋求外部支援手段來消除網路安全盲點。
你的企業有這樣的網路安全盲點嗎
隨著加密流量的監控和sap軟體及其他遺留應用程式的公升級變得越來越複雜,技術盲點會給ciso及其團隊帶來極大的資訊保安挑戰。但是,還有其他一些網路安全盲點涉及一些形態多樣的非技術概念,如企業風險。幾位網路安全專家和ciso有針對性地 了一些他們所發現的隱藏風險和漏洞,以及一些針對於企業安全的持續且日...
網路安全七大誤解 你的系統真的安全嗎?
安裝了防火牆 防病毒和防間諜軟體工具 使用加密技術傳送和儲存資料,安裝了微軟及各大安全公司不斷增強安全的工具和補丁程式 似乎可以鬆口氣了,但果真如此嗎?以下是有關系統和網路安全的七大誤解,不妨看看你的資料是否有你想象中的那麼安全。誤解一 加密確保了資料得到保護 對資料進行加密是保護資料的乙個重要環節...
知物由學 你真的了解網路安全嗎?
知物由學 是網易雲易盾打造的乙個品牌欄目,詞語出自漢 王充 論衡 實知 人,能力有高下之分,學習才知道事物的道理,而後才有智慧型,不去求問就不會知道。知物由學 希望通過一篇篇技術乾貨 趨勢解讀 人物思考和沉澱給你帶來收穫的同時,也希望開啟你的眼界,成就不一樣的你。如果我告訴你,今年,裝有報警系統房屋...