你的信息安全体系同步了吗？

Joff Thyer

我在信息安全市场长期观察发现，供应商倾向于通过设备级单点解决方案应对挑战。虽然追求商业利益无可厚非，但在当前威胁环境下，这种方式正在失效。

成熟企业正在积极寻求解决方案，因为从指标和安全运营项目中，他们意识到现状远未达预期。企业厌倦了让安全运营人员淹没在海量无关数据中的方案。很多时候，支付高薪让优秀安全分析师专注日志模式分析，比十种花哨解决方案的叠加效果更好。

行业亟需能够跨系统通信、形成对等合作伙伴关系的安全解决方案。同时，我们太容易被"银弹式"方案迷惑而忽视安全基础，例如：

• 是否具备硬件资产清单？
• 是否具备软件资产清单？
• 是否实施中央日志管理？
• 是否有完善的变更管理控制和指标？

更重要的是，安全威胁正快速超越设备解决方案的范畴。不存在单一解决方案能独家监控终端并交付理想结果。解决方案必须适配基于行为的方法，并能从计算环境的多维度获取数据——从终端到网络再到各边界。

现在正是企业利用现有软件目录结构驱动微级通信分段的时候，并通过终端防火墙与网络分段解决方案的联动实现强化。在复杂计算环境中，所有软件都需要紧密协作，检查启发式行为，仅允许合法通信。

以财务部门为例：部署Windows 10桌面，使用办公生产力应用、打印和邮件功能。安全专业人员应这样设计错误检测与纠正架构：

1. 强制财务系统与必要服务器资源、打印资源的通信
2. 阻止财务与工程部门的直接对等通信
3. 锁定应用程序运行时环境（在业务背景下可预测和可控）
4. 提供财务可访问的白名单互联网资源，或至少通过边界代理执行资源分类
5. 网络连接时使用网络访问控制软件强制执行"财务"通信配置文件
6. 通过Windows终端防火墙配置双重强化通信执行（腰带加背带式方法）
7. 将所有事件信息记录到中央日志源
8. 记录偏离已部署通信配置文件的任何异常，并通过事件响应流程追踪

简而言之，我们必须停止组织孤岛思维，开始构建适用于错误检测和异常纠正/响应的架构设计。

因此，我们的软件和人力资源必须以协作方式运作。必须启用LDAP/Active Directory来驱动微级网络执行决策，并从内部网段到允许的互联网资源，以及互联网边界通信配置文件的角度链接整个通信配置文件。

生存需求要求我们从被动解决方案转向主动的成功设计和正确的故障应对立场。坚持单一被动点解决方案方法将无法扩展，确保人员始终处于救火模式，阻碍他们成长为能应对当前复杂威胁环境的分析师。

你可以通过Joff的课程直接学习更多：

• 正则表达式，你的新生活方式
• 企业攻击者模拟与C2植入开发
• Python入门
• 提供实时/虚拟和点播课程！