首席安全官的实用安全防御指南

本文从首席安全官视角分享实用信息安全防护经验,涵盖网络监控、系统加固、权限管理、用户意识培养等核心安全措施,提供基于常识的低成本安全改进方案。

CSO:常识操作者/操作

作为CSO/CISO/信息安全负责人,你的工作是……嗯……你甚至知道吗?高层管理人员知道吗?

“我们糟糕的CSO……“和"我们愚蠢的CSO……“是各种技术人员常用的说法,他们绝望地举起双手,试图证明他们的CSO不懂技术,不知道自己在做什么。有道理,我认识的一些CSO/CISO没有系统管理、系统工程背景,也没有信息安全工作的实践经验。同时,CSO职位通常由对X和Y合规的需求以及业务经济/优先级驱动。即使CSO理解基于风险管理方法的必要性,包括所有附加功能,他或她的问题可能不在于不理解"应该做什么或不应该做什么”,而在于"被允许做什么”。这并不使CSO愚蠢,生活不是非黑即白的,但如果他或她未能与同事分享这些约束,可能会被普遍误解。为了以务实的方式仍然实现某些目标,如果CSO和技术人员都尝试采取一些措施来缩小技术与业务需求之间的差距可能会有所帮助。

我15多年前作为系统管理员、系统工程师和网络工程师开始了我的职业生涯。信息安全只是一个"爱好”,直到后来才加入我的职责范围。2.5年前,我成为一家泛欧公司的CISO,我必须承认,我在从技术人员转变为处理较少技术内容方面遇到了困难。事实上,作为前技术人员现经理,当你意识到某些防御措施不会100%有效时,可能会相当困难,因为你知道有绕过它的方法。同时,应用防御技术仍然是个好主意,因为它比什么都不做要好。从正确角度看,我们只是试图实施各种防御层,试图在潜在攻击的所有阶段使犯罪分子的生活尽可能困难。

我们为什么在这里?

首先,从事IT和信息安全工作的人应该思考他们为什么是公司的一部分。“确保事物安全"是一个相当模糊的答案,同时可能令人不知所措,因为有"太多事物"尚未安全,并且由于"业务优先级A或业务决策B"似乎无法保护。我们可以尝试找出公司关心的具体内容,以及如何将其转化为IT或信息安全。

  1. 检查公司愿景和使命。公司通常在其网站上发布使命声明。找到它,分解成部分,并检查"信息安全"在何处对实现这些目标重要/适用。
  2. 确定实现公司愿景和使命所需的IT组件。如果你知道哪些IT组件对实现目标必要,你就会知道在实施IT安全措施时应关注何处。
  3. 建立坚实的基线。除了实施直接影响/支持公司愿景和使命的安全措施外,你还需要一个可能由ISO/行业标准、法律要求驱动的坚实基线。

如何/从哪里开始?

1. 积极态度

成功很大程度上取决于你的方法和态度。与其关注问题并通过告诉事物有多"破碎"来毒害他人,不如将这些"问题"视为事实、挑战,并找到创造性、有效且理想情况下低成本的缓解这些"问题"的方法。

2. 常识优先级

在担任CISO的头两年,我做了以下事情:

承诺 向同事、IT和业务合作伙伴解释你理解对业务重要的内容,并将尽力避免对业务流程产生影响。

积极主动 花时间倾听和与人交谈。询问业务情况并倾听他们的意见。如果你在走廊听到关于新举措的传闻,或者在午餐或咖啡休息时从人们那里获取想法,尝试提出帮助促进这些新想法的方法。

提高可见性

  • 首先,商定报告问题的协议并坚持执行。
  • 定位重要的网络入口和出口点,并实施简单的IDS来查看内部流量和内部到互联网的流量。
  • 确定谁在关键系统上拥有管理员权限,并监控这些账户的使用。
  • 建立正式的用户账户生命周期管理系统。

降低风险

只有当你对网络和系统上发生的情况有良好理解时,你才准备好进行一些更改。

  • 简化管理模型:通常没有理由让IT人员使用具有管理员权限的用户账户进行日常工作。
  • 简化网络拓扑:如果简化网络,例如限制互联网网关或入口/出口点的数量,你也会提高监控和应用保护过滤器的能力。
  • 系统加固:除了执行适当的系统加固外,考虑将EMET部署到你的PC甚至服务器。
  • 标准化和补丁:确定公司使用的软件并确定标准应用程序集。
  • 分段:将网络和用户分组为具有类似行为和信任级别的实体。
  • 集中管理:如果集中管理网络和系统,将更容易将相同规则和标准应用于整个环境。

有效的用户意识

我们可以尝试积极,并给人们激励以在安全意识方面做得更好。如果你告诉用户,如果他们报告可疑电子邮件且结果证明是恶意的,你会给他们买啤酒,也许他们下次收到电子邮件时会记住。

审计

我们当然需要审计来检查我们措施的有效性。我通常在内部员工和外部聘请的渗透测试人员之间轮换审计。

抱最好的希望,做最坏的准备

最后,坏事会发生,有意或无意。这是事实。

业务连续性和灾难恢复计划基于几个基本原则:

  • 不要依赖他人。你,你的公司,是唯一可以决定某些系统重要性的人。
  • 不要依赖SLA。如果你外包了部分操作,请验证他们确实能够从事件中生存并能够恢复。

KPI

关键绩效指标是一组测量,允许你确定某物状态并得出结论。定义良好指标很重要,因为结果通常是传达给高层管理人员的,甚至可能用作你目标的一部分。

结论

这些只是你可以努力改进基本安全级别的几个例子,而无需在设备上花费大量资金。某些设备肯定具有某些价值,但只有当你已经掌握基础知识并准备好配置、维护和操作它们时。

CSO:倾听你的人员,技术人员:倾听业务和你的CSO。找到共同目标,相互教育并共同努力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次