面對(duì)緊張的預(yù)算和資源,可供企業(yè)組織使用的安全措施有限。因此,企業(yè)組織需要根據(jù)戰(zhàn)略目標(biāo)對(duì)安全措施進(jìn)行優(yōu)先級(jí)排序。但現(xiàn)實(shí)中,由于諸多原因,企業(yè)組織的總體安全目標(biāo)并不明確,在這種情況下,企業(yè)組織可以嘗試“日拱一卒”,制定階段性的局部目標(biāo)。
2021年CISO(首席信息安全官)應(yīng)該重點(diǎn)關(guān)注的五個(gè)工作目標(biāo):
創(chuàng)建網(wǎng)絡(luò)釣魚防范計(jì)劃
無線通信公司Verizon在其DBIR 2021數(shù)據(jù)泄露報(bào)告中指出,網(wǎng)絡(luò)釣魚仍然是網(wǎng)絡(luò)攻擊最常用的手段,在2020年甚至更為流行,占攻擊事件的36%。遠(yuǎn)高于一年前的25%,這一增長反映了2020年上半年與新冠肺炎疫情相關(guān)網(wǎng)絡(luò)釣魚誘餌的涌入。面對(duì)網(wǎng)絡(luò)釣魚攻擊的日益增長,CISO和其他安全專業(yè)人員需要優(yōu)先創(chuàng)建反網(wǎng)絡(luò)釣魚程序。
網(wǎng)絡(luò)釣魚攻擊會(huì)針對(duì)業(yè)務(wù)人員發(fā)送以假亂真的信息,并使用心理戰(zhàn)術(shù)營造緊迫感,促使收件人點(diǎn)擊。因此,企業(yè)組織需要對(duì)員工進(jìn)行網(wǎng)絡(luò)釣魚方面的教育,確保企業(yè)組織內(nèi)從人力資源、法律到研發(fā)部門的每個(gè)人都了解要查找的危險(xiǎn)信號(hào)、如何報(bào)告可疑消息以及避免單擊鏈接或打開網(wǎng)絡(luò)釣魚電子郵件中包含的文件。
重新審視漏洞管理
Verizon在其DBIR 2021中發(fā)現(xiàn),與利用較新漏洞相比,涉及較舊漏洞的攻擊更為常見。產(chǎn)生這種趨勢(shì)的部分原因是企業(yè)組織并不總是將修補(bǔ)作為優(yōu)先事項(xiàng),如果不能及時(shí)修補(bǔ)漏洞,攻擊者就可以連續(xù)數(shù)年利用相同的漏洞進(jìn)行攻擊和破壞。
企業(yè)組織可以通過漏洞管理(VM)、漏洞掃描(通常指CVE漏洞列表或“常見漏洞和暴露”掃描)來應(yīng)對(duì)這一趨勢(shì),再根據(jù)風(fēng)險(xiǎn)對(duì)這些漏洞進(jìn)行嚴(yán)重性和修復(fù)優(yōu)先級(jí)排序。
企業(yè)組織實(shí)施VM程序的一個(gè)難點(diǎn)是了解哪些漏洞是首先要緩解的。當(dāng)漏洞堆積時(shí),企業(yè)組織判斷哪些漏洞最嚴(yán)重且具有潛在破壞性可能是一項(xiàng)挑戰(zhàn)。企業(yè)組織可以選擇使用高級(jí)VM解決方案,提供靈活、精細(xì)的評(píng)分系統(tǒng),對(duì)已知缺陷進(jìn)行優(yōu)先排序。
加強(qiáng)云上資產(chǎn)保護(hù)
2021年,外部云資產(chǎn)的安全事件比內(nèi)部資產(chǎn)更常見。這意味著企業(yè)組織需要了解他們的云安全責(zé)任。雖然云安全提供商將保護(hù)企業(yè)組織正在使用的云基礎(chǔ)設(shè)施,但企業(yè)組織仍然有責(zé)任確保添加到云中的所有數(shù)據(jù)和流程安全。
高級(jí)云帳戶監(jiān)控網(wǎng)絡(luò)安全工具可以掃描企業(yè)組織云帳戶中的錯(cuò)誤配置,因?yàn)檫@些錯(cuò)誤配置可能會(huì)成為攻擊者的窗口。云監(jiān)控工具可以按照風(fēng)險(xiǎn)級(jí)別對(duì)云帳戶錯(cuò)誤配置進(jìn)行優(yōu)先級(jí)排序,以便安全團(tuán)隊(duì)可以解決最關(guān)鍵的問題。
優(yōu)先考慮工業(yè)網(wǎng)絡(luò)安全
根據(jù)Verizon的年度安全報(bào)告,工業(yè)環(huán)境,尤其是制造業(yè)環(huán)境,已經(jīng)成為攻擊者的熱門目標(biāo)。事實(shí)上,研究人員發(fā)現(xiàn)勒索軟件對(duì)制造企業(yè)漏洞的惡意利用比前幾年增加了61.2%。報(bào)告還發(fā)現(xiàn),個(gè)人數(shù)據(jù)是這些攻擊行為中受損最嚴(yán)重的數(shù)據(jù)類型。
企業(yè)組織可以通過優(yōu)先考慮工業(yè)網(wǎng)絡(luò)安全來做出響應(yīng)。例如,安全團(tuán)可以重點(diǎn)考慮實(shí)施工業(yè)可見性解決方案來保護(hù)運(yùn)營(OT)環(huán)境 ??梢娦允加谡w資產(chǎn)清單,安全團(tuán)隊(duì)可以使用一種工具,通過完整的硬件和軟件資產(chǎn)清單,準(zhǔn)確地顯示網(wǎng)絡(luò)上的各種資產(chǎn)。
企業(yè)組織需要知道這些設(shè)備正在與誰通信,設(shè)備配置是否在變化,以及存在哪些漏洞,并了解日志中隱藏的問題。一旦企業(yè)組織實(shí)現(xiàn)了工業(yè)網(wǎng)絡(luò)安全的實(shí)時(shí)可見性,就可以實(shí)施保護(hù)性安全控制,并持續(xù)監(jiān)控企業(yè)組織的網(wǎng)絡(luò)環(huán)境。
使用CIS控件
Verizon在其報(bào)告中曾表示,“‘夯實(shí)基礎(chǔ)’將有助于解決最有可能影響企業(yè)組織的絕大多數(shù)安全問題。” 而這個(gè)“基礎(chǔ)”的重要組成部分之一就是CIS(全稱Clever Internet Suite)控件,CIS控件是一套提供給軟件開發(fā)者,進(jìn)行Internet網(wǎng)絡(luò)開發(fā)的控件。由互聯(lián)網(wǎng)安全中心維護(hù)的CIS最佳實(shí)踐優(yōu)先列表是一個(gè)免費(fèi)的、備受推崇的框架,企業(yè)組織可以使用它來確保擁有最重要的安全控制。
CIS安全控制將企業(yè)組織的數(shù)字環(huán)境視為一所房子,如果沒有基本的安全措施,任何人都可以進(jìn)入。企業(yè)組織遵守基本的安全控制,尤其是在CIS Controls v8 實(shí)施組1中列出的那些,可以幫助其關(guān)閉窗戶,鎖上門,并安裝一個(gè)標(biāo)準(zhǔn)的安全系統(tǒng)。雖然沒有可以完全消除攻擊者闖入的可能性,但實(shí)施CIS控制有助于降低攻擊的可能性和影響。