CSO:常识操作与信息安全实践指南

本文探讨了CSO/CISO在信息安全中的角色,强调通过常识性操作提升安全基线,包括网络监控、系统加固、用户意识等实用策略,无需昂贵设备即可有效防御威胁。

CSO:常识操作/运营

作为CSO/CISO或负责信息安全的个人,你的工作是……嗯……你甚至知道吗?高层管理人员知道吗? “我们糟糕的CSO……”和“我们愚蠢的CSO……”是各种(技术)人员常用的陈述,他们绝望地举手,试图证明他们的CSO不理解技术,也不知道自己在做什么。有道理,我认识的一些CSO/CISO没有系统管理、系统工程的背景,也没有信息安全工作实践经验。同时,CSO职位通常由对X和Y的合规需求以及业务经济/优先级(增长、收入、稳定性、性能等)驱动。尽管CSO可能理解基于风险管理的方法的必要性,包括所有附加功能,但他或她的问题可能不在于不理解“他应该或不应该做什么”,而在于“他或她被允许做什么”。这并不使CSO愚蠢,生活不是那么黑白分明,但如果他或她未能与同事分享这些约束,他或她可能会被普遍误解。为了以务实的方式仍然实现某些目标,如果CSO和技术人员都尝试采取一些步骤来缩小技术与业务需求之间的差距,可能会有所帮助。或者,换句话说,它可能帮助CSO做应该做的事情,而不损害业务目标。

我15多年前开始了我的职业生涯,担任系统管理员、系统工程师和网络工程师。信息安全只是一个“爱好”,直到后来才添加到我的职责中。2.5年前,我成为一家泛欧公司的CISO,我必须承认,我在从技术人员转变为处理较少技术内容方面遇到了困难。事实上,作为前技术人员现经理,一件相当困难的事情是当你意识到某些防御措施不会100%有效,因为你知道有绕过它的方法。同时,应用防御技术仍然是个好主意,因为它比什么都不做要好。从大局来看,我们只是试图实施多层防御,试图在潜在攻击的所有阶段使罪犯的生活尽可能困难。在这篇简短的博客文章中,我将分享一些我的经验,并尝试就一些你可以做的事情提供我的两分钱,通过应用常识使你的环境更安全。

我们为什么在这里?

首先,从事IT和信息安全工作的人应该思考“为什么”他们是公司的一部分。“使事物安全”是一个相当模糊的答案,同时可能令人不知所措,因为有“这么多事情”还不安全,并且由于“业务优先级A或业务决策B”似乎无法保护。与其抱怨,我们可以尝试找出公司真正关心的是什么,以及如何将其转化为IT或信息安全。如果你的经理无法告诉你你的工作的哪部分对公司重要,也许你可以自己找出:

  1. 检查公司愿景和使命。公司通常在其网站上发布使命声明。找到它,将其分解,并检查“信息安全”如何/在哪里对实现这些目标重要/适用。示例:http://www.google.com/about/company:“谷歌的使命是组织世界的信息,使其普遍可访问和有用”。此声明包括“组织信息”、“使信息普遍可访问”和“使信息有用”。这3部分是“功能需求”,似乎根本与“安全”无关。事实上,你可能在任何使命声明中都找不到“安全”或“安全性”(除非公司提供安全解决方案)。无论如何,这些“功能需求”是公司关心的。这是产生收入的原因,也是确保你获得报酬的原因。如果你的行动将对这3件事之一产生负面影响,你很快就会找新工作。

  2. 识别实现公司愿景和使命所需的IT组件。如果你知道哪些IT组件对实现目标是必要的,你就会知道在实施IT安全措施时关注哪里。换句话说,你会知道什么是重要的以及为什么重要。“信息”通常意味着“数据”,所以也许公司希望确保实施访问控制。“普遍可访问”意味着你可能不被允许阻止授权人员访问数据。同时,在某些情况下可能需要阻止访问。

  3. 建立坚实的基线。除了实施直接影响/支持公司愿景和使命的安全措施外,你还需要一个坚实的基线,可能由ISO/行业标准、法律要求(合规)或只是常识驱动。这是经常引起挫败感的灰色地带,因为人们要么尝试做太多,要么不够关心。确保你的IT系统具有合理的安全级别,足以防止罪犯轻易进入,但不过度花钱且 certainly 不 disrupt 公司,是重要的。

综合起来:如果公司的愿望是“快速到达某处”(使命),也许他们想使用快车(IT组件)来实现,而你的工作是确保它有安全气囊,刹车功能正常,且不漏油(基线)。此外,确保汽车驾驶员知道如何正确和安全地操作(培训与意识)符合公司利益。是否需要碰撞检测和自动刹车取决于公司,不应该是你的首要任务。记住这一点,并每年花时间审查公司愿景和使命。

无论如何,在本文中,我将尝试提供一些关于这个基线的想法,以及你可以通过一些基本、有效的步骤来提高整体安全水平。

我们如何/从哪里开始?

1. 积极态度

无论你喜欢与否,成功很大程度上取决于你的方法和态度。与其关注问题并通过告诉别人事情有多“破碎”来毒害他人,尝试将这些“问题”视为事实、挑战,并找到创造性、有效且理想低成本的缓解这些“问题”的方法。没有完美这样的事情,所以停止在消极上浪费精力。尝试积极,并接受技术变化和安全是一个过程。有这么多事情可以做,让我们先从基础开始。

2. 常识优先级

与其购买最新的“下一代”设备,具有蓝色、红色、绿色、黄色和(哇-全新)黑色LED,你有选择和机会关注可能更有效且成本更低的事情。在担任CISO的头两年,这是我做的:

承诺

向你的同行、IT和业务伙伴解释你理解什么对业务重要,并会尽力避免对业务流程的影响,是重要的。人们关心功能和性能,所以记住这一点。同时,信息安全在许多公司中通常有负面形象,很难摆脱这种形象。改变这种形象的一个可能方法是说服人们允许你(信息安全)在早期阶段成为新项目和计划的一部分。同时,尽你最大努力确保当时不减慢项目/流程。如果你在造车,在早期阶段实施安全气囊的想法更有意义。如果公司必须召回数十万辆汽车以便之后添加安全气囊,猜猜看,他们可能会责怪你。解释你致力于确保他们能够按时交付,并希望避免最后的减速和问题。

主动

花时间倾听和与人交谈。询问业务情况,倾听他们要说的话。如果你在走廊听到关于新计划的谣言,或者碰巧在午餐或咖啡休息时从人们那里获取想法,尝试提出帮助促进这些新想法的方法,而不是提出新想法不会安全的原因。成为早期采用者,在IT(安全)部门内设置概念验证,然后尝试说服组织中的“关键”人员你的方法确实有效。此外,大多数经理不喜欢输掉争论。每次你从他们那里拿走东西或给他们一个“不”,你需要一系列“是”来说服他们你仍然站在他们一边。

增加可见性

如果你不知道发生了什么,你就无法修复事情。同时,如果你从一开始就不做对,很容易被警报和信息淹没。这意味着你需要了解网络和系统的布局,并识别你真正关心的是什么。你真的关心每天在互联网上发生的百万次端口扫描吗?如果你不托管网站,你真的想看到下一波大规模SQL注入扫描吗?也许知道什么流量离开你的网络可能更重要。或者也许你想知道“王国钥匙”发生了什么。以下是一些想法:

  • 首先,同意报告问题的协议并坚持它。增加可见性意味着你会得到一堆警报,其中一些需要有人采取行动。如果IT希望你通过他们的帮助台报告一切,那就这样做。让他们决定你如何报告问题,并尝试避免使用“紧急”,除非某事真的“紧急”。你收到警报的事实仅意味着你检测事物的能力提高了。这并不意味着事情变得更糟。不要用它来指责某人或显示事情有多糟。避免人身攻击,表明你在同一方,希望共同解决方案。允许IT人员(安全之外)查看你的仪表板,这样他们感到参与,甚至可以在你之前反应/响应。无论如何,尝试从一开始就与IT合作。以你希望他人行为的方式行为。

  • 定位重要的网络入口和出口点。(即地理/国家网络连接、互联网访问、具有不同安全级别的网段之间的交叉点)并实施简单的IDS来查看内部流量和内部到互联网的流量。首先远离互联网到内部流量,你以后仍然可以添加该功能。确保所有事件记录在中央数据库中。不要一次启用所有监控,而是采取分阶段方法。启用对某种类型/类别事件的监控,并分析结果几周。调整规则,使误报事件数量接近零,然后再启用新规则集。如果你想自己托管低成本解决方案,看看Snort / Snorby。它不完美,但它有效,并将增加可见性。此外,向管理层和网络人员解释IDS只是在监听流量。向他们展示IDS主机连接到“监控”端口而不是“在线”,展示它不会降低网络性能,也不会成为单点故障。证明你意识到他们的担忧,并致力于确保一切正常工作。

  • 识别谁在你的关键系统上拥有管理员权限,并监控这些账户的使用,和/或监控可能导致获得管理员权限的组成员身份。监控重要账户的账户更改(账户锁定、密码更改)。如果服务器特定服务账户在另一台机器上使用,你应该知道。如果管理员账户用于访问电子邮件,你应该意识到。Windows Server/Active Directory能够执行详细的事件日志记录,你可以使用简单的powershell脚本导出事件并过滤它们。如果你有一些预算,你可以看看审计软件,如“Netwrix Auditing Suite”,这将使你的生活轻松得多。

  • 在实施工具之前思考你想看到和监控什么。如果工具不完全符合你的需求,挑战供应商/开发人员;或自己写一些东西。

  • 设置正式的用户账户生命周期管理系统。首先识别不再活动/未使用的用户账户和/或具有高权限的用户账户。清理未使用的账户,看看是否能说服HR每月报告离开公司的人员姓名。同时,继续运行识别不再使用的账户的脚本,并确保它们最终被清理。确保IT管理员密码更改(比其他账户更快),如果IT中有人离开公司,更改重要的IT管理员密码。对自己采用和应用高标准。

降低风险

只有当你对网络和系统上发生的事情有良好理解时,你才准备好进行一些更改。我认为我们都同意更改事物并非没有风险,人们可能提出好和坏的理由为什么你不能进行更改。提前计划,确保正确测试更改,并在强制他人之前长时间将更改应用于自己。如果事情对你不顺利,它们对其他人也不会顺利。不要给人们机会说“它不会工作”,首先尝试,并在现实环境中尝试,使用类似于其他人环境的环境和应用程序集。最后,即使公司没有测试更改或变更管理的良好历史,也要专业并对自己应用更高标准。记住,你做的任何事情都可能被用来对付你。

  • 简化管理模型:通常没有理由让IT人员使用具有管理员权限的用户账户进行日常工作。我过去设计、实施和操作过大型复杂的Active Directory拓扑,通常没有理由让任何人成为域管理员或企业管理员。大多数,如果不是全部,工作可以在技术上委托给某些账户。此外,为确保IT人员理解最终用户的挫败感,他们也应该使用常规最终用户账户,仅在需要时和需要时间内切换到具有更高权限的用户账户。如果他们不愿意这样做,他们可能知道环境中的某些东西设置不正确,阻止他们完成工作,这意味着一些最终用户面临相同问题。此外,解释如果他们的账户被泄露,对整个公司的影响会大得多。收紧管理模型并非没有风险,所以你确实需要充分准备对环境进行更改,并确保你永远不会遇到完全没有管理员权限的情况。同时,实施分割秘密密码技术对于“王国钥匙”是有意义的。将密码的两部分保存在保险箱中,并确保你总是需要两个人在一起才能使用最危险/强大的账户。

  • 简化网络拓扑:如果你简化网络,例如限制互联网网关或一般入口/出口点的数量,你也会提高监控和应用保护过滤器的能力。强制使用云代理,例如,将使你更容易以集中方式过滤出某些攻击,而不强制漫游人员首先连接回公司,浪费大量带宽,来访问互联网。尝试不要对人们能做什么太限制,但专注于阻止明显威胁。如果HR想应用额外过滤器,让他们处理和沟通。不要倡导限制性内容过滤,除非有明确的安全原因。

  • 系统加固:除了执行适当的系统加固,考虑部署EMET到你的PC甚至服务器。EMET是一个伟大的工具,显著提高罪犯利用内存损坏错误的难度级别。它是一个免费实用程序,由Microsoft支持,可以集中管理。(如果你没有完整的软件管理套件,你甚至可以使用Active Directory部署它)是的,它有一些问题;是的,它需要在所有应用程序上测试,但问题可以白名单,最终,事情会工作。我已经使用EMET超过5年,没有讨厌的惊喜。当然,EMET(或其他结构防御机制)不完美,可以经常被绕过。进攻性研究对于不断推动极限和提高防御技术的质量和成熟度是必要的,但同时,我们也必须承认,通常防止最新绕过所需的努力少于进行研究所需的时间。

  • 标准化和补丁:识别公司使用的软件并确定标准应用程序集。评估修补应用程序的容易程度,并在需要/可能时寻找替代方案。确保补丁经过适当测试,即使这意味着你不能在发布当天部署补丁。在发布后2周部署补丁比未经测试部署补丁、炸毁环境、再也不能修补任何东西要好。如果你必须安装各种不太常见的应用程序,检查它们是否与EMET兼容,并确保它们受到EMET保护。

  • 分段:将网络和用户分组为具有类似行为和信任级别的实体。为每个实体创建安全配置文件,并基于这些配置文件实施保护机制。我们都知道C级高管、经理、销售、营销、HR等……有不同的需求,并希望事物与他们的工作方式一致。不是每个人都平等。不要与之斗争,而是拥抱它,并找出实现的方法。有多个安全配置文件比没有安全应用于一组人更好。专注于在必须更宽松的情况下增加可见性。

  • 集中管理:如果你集中管理网络和系统,更容易将相同规则和标准应用于整个环境。即使一开始很难实现,你可以尝试找到快速胜利,例如,尝试说服IT控制所有公共DNS记录(而不是让营销和其他人管理这个)。

Mubix整理了一个伟大的演示,称为“攻击者鬼故事: mostly free defenses that give attackers nightmares”。这是一个如何应用简单(免费/低成本)更改的绝佳例子,显著增加攻击者拥有你网络的障碍。

有效的用户意识

啊,好老用户意识。Infosec中最流行的陈述是“人们点击东西”和“没有补丁 for human stupidity”。嗯,是的,人们点击东西。他们确实。但猜猜看,这不是因为他们愚蠢。我相信部分原因为什么仍然容易说服人们“点击东西”是因为我们(Infosec)不够努力。与其在酒吧给女孩和男孩留下深刻印象,展示你的社会工程技能有多好,为什么我们不使用它们来教人们,并给他们一个好理由不点击任何东西。与其对人们大喊大叫或取笑人们,我们也可以尝试积极,并给人们激励在安全意识方面做得更好。如果你告诉用户,如果他们报告可疑电子邮件并且它看起来是恶意的,你会给他们买啤酒,也许他们下次收到电子邮件时会记住。或者如果你的“密码更改”审计报告表明给定人员一年更改了他/她的密码4次,你可以给他们买啤酒。我相信你可以想出更有创意的方法给人们一个好理由以不同方式行为。以积极方式教导,奖励他们做正确的事情,少大喊大叫。他们会记住,他们甚至可能改变习惯。

审计

当然,我们需要审计以检查我们的措施有多有效。我通常在内聘员工和外聘渗透测试员之间轮换审计。我甚至在外聘公司之间轮换,以确保不同的人查看环境。我选择外聘渗透测试员时使用的标准之一是他们在正确上下文中放置事物的能力,这直接基于他们设计/构建/实施系统和网络的经验,而不仅仅是审计它们。随着你的安全改进,审计员发现问题变得越难,或修复问题可能越复杂。确保选择一个也有经验修复或包含问题的伙伴,并以务实方式这样做。如果你得到报告,阅读它,给予它应得的关注,如果某事不清楚,向审计员请求更多信息或帮助。最后,即使你没有渗透测试员团队,培训你的IT“构建者”学习如何“破坏”事物仍然有意义,这样他们可以以安全方式设置事物。同样适用于“破坏者”。尝试构建整个环境,包括监控和管理,以理解它有多难。

抱最好希望,做最坏打算

最后,坏事会发生,有意或无意。这是一个事实。无论最新的审计报告有多好,我们必须理解事物变化,并且没有什么/没有人可能为持久、有针对性的攻击做好准备。我们也不控制某些外部因素(环境问题等),但我们有义务确保公司能够尽快恢复和恢复运营。

制定业务连续性和灾难恢复计划是一项繁琐的工作,但最终基于几个基本原则:

  • 不依赖他人。你,你的公司,是唯一可以决定某些系统有多重要的人。确保负责托管/管理你的系统的任何人理解你的业务需求,并实施真实机制(备份、高可用性、回退技术、程序、文档)。维护对业务重要的清单,识别系统有多关键(询问业务),并相应实施技术。主动,不要等到太晚,但也不要过度做事。务实,并向业务解释你想实施什么以及结果将是什么。如果他们同意系统可以停机3天,并且他们可以承受丢失2天的数据,那么可能不需要实施昂贵的集群和4小时备份计划。

  • 不依赖SLA。如果你外包了部分操作,验证他们是否真的能够 survive incidents 并且即使事情炸毁也能恢复。记住,SLA only there to protect them, not you. SLA就像一把伞。它会避免你的伙伴淋湿,而你仍然会掉下悬崖,意识到你真正需要的是降落伞。

KPI

关键绩效指标(KPI)是一组测量,允许你(或管理层)确定某事的状态并得出结论。作为经理,你可能会收到交付(并满足)某些KPI水平的请求,如果你从事IT(安全)操作,你工作的一部分将用作这些KPI的基础。定义好的指标是重要的,因为结果通常是传达给上层管理层的,甚至可能用作你目标的一部分。如果你让其他人定义KPI,你最终会得到像“收集检测到的病毒数量并与去年比较”这样的东西。现实是,我们只对这样的东西部分感兴趣。事实上,我真正想知道的是有多少病毒未被检测到。无论如何,当整理KPI时,提出“为什么”你想收集某种类型信息的原因而不是仅仅收集数字和数字是重要的。如果你真的想证明你正在改进安全,确保你提出有趣、创新的指标,而不仅仅是毫无意义的数字。可能帮助你定义好指标的一本书是Lance Hayden的“IT Security Metrics, A Practical Framework for Measuring Security & Protecting Data”。第二个伟大资源是David Parmentier的“Key Performance Indicators, Developing, Implementing and Using Winning KPI’s”。

结论

这些只是你可以努力改进基本安全水平的一些例子,而无需在设备上花费大量美元。某些设备 definitely have certain value, but only when you already have the basics right and are ready to configure, maintain and operate them.

无论如何,这里列出的并不完美,它不是圣杯,也没有所有答案。毕竟,我只当了2.5年CISO,但我相信采取一些

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次