首席安全官的实用安全指南:从基础防御到业务连续性

本文从首席安全官视角分享信息安全实践经验,涵盖基础安全措施、网络监控、系统加固、用户意识培养等核心领域,提供无需昂贵设备即可提升安全防护水平的具体建议。

CSO:常识操作员/操作

作为CSO/CISO/信息安全负责人,你的工作是……嗯……你甚至知道吗?高层管理人员知道吗?

“我们糟糕的CSO……“和"我们愚蠢的CSO……“是各种技术人员常用的说法,他们绝望地举起双手,试图证明他们的CSO不懂技术,也不知道自己在做什么。有道理,我认识的一些CSO/CISO没有系统管理、系统工程的背景,也没有信息安全工作实践经验。同时,CSO职位通常由对X和Y合规的需求以及业务经济/优先级驱动。即使CSO理解基于风险管理方法的需求,包括所有附加功能,他或她的问题可能不在于不理解"他应该或不应该做什么”,而在于"他或她被允许做什么”。这并不使CSO愚蠢,生活不是非黑即白的,但如果他或她未能与同事分享这些约束,他或她可能会被普遍误解。为了以务实的方式仍然实现某些目标,如果CSO和技术人员都尝试采取措施缩小技术与业务需求之间的差距可能会有所帮助。

我15多年前开始了我的职业生涯,担任系统管理员、系统工程师和网络工程师。信息安全只是一个"爱好”,直到后来才加入我的职责。2.5年前,我成为一家泛欧公司的CISO,我必须承认,我一直在努力从技术人员转变为从事较少技术工作。事实上,作为前技术人员现经理,当你意识到某些防御措施不会100%有效,因为你知道有绕过它的方法时,这可能相当困难。同时,应用防御技术仍然是个好主意,因为它比什么都不做要好。从全局来看,我们只是试图实施各种防御层,试图在潜在攻击的所有阶段使犯罪分子的生活尽可能困难。在这篇简短的博客文章中,我将分享一些经验,并尝试就如何通过应用常识使你的环境更安全提供我的建议。

我们为什么在这里?

首先,从事IT和信息安全工作的人应该思考他们为什么是公司的一部分。“使事情安全"是一个相当模糊的答案,同时可能令人不知所措,因为有"这么多事情"还不安全,并且由于"业务优先级A或业务决策B"似乎无法保护。与其抱怨,我们可以尝试找出公司关心的具体内容,以及如何将其转化为IT或信息安全。如果你的经理不能告诉你工作的哪部分对公司重要,也许你可以自己找出:

  1. 检查公司愿景和使命。公司通常在其网站上发布使命宣言。找到它,分解成部分,并检查"信息安全"在何处对实现这些目标重要/适用。
  2. 识别实现公司愿景和使命所需的IT组件。如果你知道哪些IT组件对实现目标是必要的,你就会知道在实施IT安全措施时应关注何处。
  3. 建立坚实的基线。除了实施直接影响/支持公司愿景和使命的安全措施外,你还需要一个可能由ISO/行业标准、法律要求或仅仅是常识驱动的坚实基线。

整合起来:如果公司希望"快速到达某处”,也许他们想使用一辆快车,而你的工作是确保它有安全气囊,刹车功能正常,并且不漏油。此外,确保公司汽车驾驶员知道如何正确安全地操作它符合公司利益。

我们如何/从哪里开始?

1. 积极态度

成功很大程度上取决于你的方法和态度。与其关注问题并通过告诉事情有多"破碎"来毒害他人,尝试将这些"问题"视为事实、挑战,并找到创造性、有效且理想低成本的缓解这些"问题"的方法。

2. 常识优先级

在头两年作为CISO,我做了以下事情:

承诺 向同事、IT和业务伙伴解释你理解对业务重要的内容,并将尽力避免对业务流程产生影响。

积极主动 花时间倾听和与人交谈。询问业务情况并倾听他们的意见。如果你在走廊听到关于新举措的传闻,或者在午餐或咖啡休息时从人们那里获取想法,尝试提出帮助促进这些新想法的方法。

提高可见性

  • 首先,约定报告问题的协议并坚持执行。
  • 定位重要的网络入口和出口点,并实施简单的IDS查看内部流量和内部到互联网的流量。
  • 识别谁在关键系统上拥有管理员权限,并监控这些账户的使用。
  • 在实施工具前思考你想看到和监控的内容。
  • 建立正式的用户账户生命周期管理系统。

降低风险

简化管理模型 通常没有理由让IT人员使用具有管理员权限的用户账户进行日常工作。设计、实施和操作大而复杂的Active Directory拓扑,通常没有理由让任何人成为域管理员或企业管理员。

简化网络拓扑 如果你简化网络,例如限制互联网网关或入口/出口点的数量,你也会提高监控和应用保护过滤器的能力。

系统加固 除了执行适当的系统加固,考虑部署EMET到你的PC甚至服务器。EMET是一个伟大的工具,显著提高犯罪分子利用内存损坏错误的难度水平。

标准化和补丁 识别公司使用的软件并确定标准应用程序集。评估修补应用程序的容易程度,并在需要/可能时寻找替代方案。

分段 将网络和用户分组为具有相似行为和信任级别的实体。为每个实体创建安全配置文件,并基于这些配置文件实施保护机制。

集中管理 如果你集中管理网络和系统,对整个环境应用相同规则和标准变得更容易。

有效的用户意识

用户意识。信息安全中最流行的说法是"人们点击东西"和"没有修补人类愚蠢的补丁"。嗯,是的,人们点击东西。他们确实点击。但猜猜怎么着,不是因为他们愚蠢。我相信说服人们"点击东西"仍然微不足道的一部分原因是我们不够努力。与其在酒吧向女孩和男孩炫耀你的社会工程技能有多好,为什么我们不利用它们来教导人们,并给他们一个好理由不点击任何东西。

审计

当然,我们需要审计来检查我们的措施有多有效。我通常在内部员工和外部雇佣的渗透测试人员之间轮换审计。我甚至在外部公司之间轮换,以确保不同的人查看环境。

抱最好的希望,做最坏的准备

最后,坏事会发生,有意或无意。这是事实。无论最新的审计报告有多好,我们必须理解事情会变化,并且没有什么/没有人可能为持久、有针对性的攻击做好准备。

业务连续性和灾难恢复计划

  • 不要依赖他人。你,你的公司,是唯一能决定某些系统重要性的人。
  • 不要依赖SLA。如果你外包了部分操作,验证他们确实能够从事件中生存,并且即使在事情爆炸时也能恢复。

KPI

关键绩效指标是一组测量,允许你确定某物的状态并得出结论。作为经理,你可能会收到交付某些KPI水平的请求,如果你从事IT安全操作,你部分工作将用作这些KPI的基础。

结论

这些只是你可以努力改进基本安全水平的几个例子,而无需在设备上花费大量资金。某些设备肯定有某些价值,但只有在你已经掌握基础知识并准备好配置、维护和操作它们时。

毕竟,我只当了2.5年的CISO,但我相信采取一些微步骤并致力于分层防御绝对比什么都不做要好。此外,当基础工作做得好,并且业务理解你正在努力确保每个人都能以高效方式工作和协作时,你正在积累实施更好事情的信用。

CSO:倾听你的人员,技术人员:倾听业务和你的CSO。找到共同目标,相互教育,共同努力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次