10步改善企業(yè)分層防御策略

■陸寶華

10步改善企業(yè)分層防御策略

■陸寶華

下面的十種方法，可以幫助改善我們的分層防御策略：

1.設(shè)立首席安全風(fēng)險(xiǎn)官(CSRO)職位

應(yīng)當(dāng)設(shè)立CSRO職位，作為公司負(fù)責(zé)所有安全和風(fēng)險(xiǎn)事務(wù)的獨(dú)立首腦，直接向CEO、董事會(huì)和政務(wù)官員等匯報(bào)。

涉及內(nèi)容可能包括突發(fā)事件、人身安全和物理安全問(wèn)題、隱私問(wèn)題，以及網(wǎng)絡(luò)安全問(wèn)題。傳統(tǒng)的首席信息安全官(CISO)、首席安全官(CSO)、副首席信息官(deputy CIO)或安全總監(jiān)在當(dāng)前態(tài)勢(shì)下已經(jīng)不能發(fā)揮效用。這一角色不應(yīng)歸為首席財(cái)務(wù)官(CFO)、首席運(yùn)營(yíng)官(COO)、首席信息官(CIO)和首席技術(shù)官(CTO)的下屬，但可以代替CISO、CSO和首席風(fēng)險(xiǎn)官(CRO)之類的角色。

2.組建CSRO團(tuán)隊(duì)

我們應(yīng)當(dāng)組建一支在首席安全風(fēng)險(xiǎn)官(CSRO)及其副手領(lǐng)導(dǎo)下的權(quán)威的跨職能團(tuán)隊(duì)，作為公司所有安全和風(fēng)險(xiǎn)問(wèn)題決策、響應(yīng)協(xié)調(diào)、問(wèn)責(zé)、領(lǐng)導(dǎo)和策略實(shí)施的唯一權(quán)威機(jī)構(gòu)。

這一團(tuán)隊(duì)至少每周要有一次例會(huì)，還得有細(xì)致恰當(dāng)?shù)恼鲁檀_保每名團(tuán)隊(duì)成員都對(duì)團(tuán)隊(duì)有投票權(quán)，并且獲得組織內(nèi)部最高層的書(shū)面授權(quán)。團(tuán)隊(duì)?wèi)?yīng)當(dāng)也必須包含至少下列類型的主題專家(SME)成員：

高級(jí)IT安全SMEs

高級(jí)法律顧問(wèn)代表

高級(jí)隱私官

高級(jí)人力資源代表

高級(jí)審計(jì)和財(cái)務(wù)代表(來(lái)自組織內(nèi)部的CFO/COO部門)

高級(jí)物理安全和人身安全經(jīng)理/SME

高級(jí)項(xiàng)目經(jīng)理和運(yùn)營(yíng)管理代表

高級(jí)技術(shù)工程師

合適的業(yè)務(wù)領(lǐng)域/數(shù)據(jù)/信息/系統(tǒng)業(yè)主(根據(jù)需要)

關(guān)鍵外部合伙人、供應(yīng)商和客戶利益相關(guān)者(根據(jù)需要)

3.采用積極防御戰(zhàn)略

總體戰(zhàn)略中必須包含以積極防御的形式呈現(xiàn)的攻擊性元素。這不是說(shuō)需要直接攻擊那些假想敵。不過(guò)，確實(shí)需要蜜罐、無(wú)惡意的木馬和其他方法去研究攻擊者，獲取可信的特征，增加威懾力或使敵對(duì)方的努力化為泡影也是可行且應(yīng)該采用的方法。此外，直接攻擊應(yīng)該留給現(xiàn)實(shí)世界中有既有管轄權(quán)的家伙們干，比如軍隊(duì)、情報(bào)機(jī)構(gòu)和執(zhí)法部門。

4.實(shí)施深度防御

開(kāi)放系統(tǒng)互連(OSI)模型的全部層級(jí)，加上人員層，都必須納入組織的深度防御方法中來(lái)。

比如，網(wǎng)絡(luò)級(jí)入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)、網(wǎng)頁(yè)內(nèi)容過(guò)濾、網(wǎng)站應(yīng)用防火墻、惡意軟件分析工具、漏洞分析工具、帶數(shù)據(jù)泄露防護(hù)(DLP)的主機(jī)級(jí)IPS、電子取證工具、閑時(shí)加解密，以及傳輸工具、巡回工具、SIEM和機(jī)器數(shù)據(jù)挖掘工具等，從應(yīng)用層防護(hù)直到物理層防護(hù)都應(yīng)該裝上。手機(jī)應(yīng)用和數(shù)據(jù)安全等無(wú)線保護(hù)也應(yīng)該包括進(jìn)來(lái)。

5.及時(shí)調(diào)整

通過(guò)每日、每周、每月的調(diào)整提升安全基準(zhǔn)是必要的。在經(jīng)常使用的基礎(chǔ)上學(xué)習(xí)輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、域名服務(wù)系統(tǒng)(DNS)、超文本傳輸協(xié)議(HTTP)和其他你網(wǎng)絡(luò)中出現(xiàn)的流量。觀察管理員帳戶行為，知曉你的訪問(wèn)控制實(shí)踐，而不僅僅是寫在紙上的章程。另外，為需要或要求各種不同類型軟件的業(yè)務(wù)單位建立起一套請(qǐng)求流程和變動(dòng)控制程序。

保證安全測(cè)試、評(píng)估和分析，檢測(cè)與鎖定部署在組織內(nèi)部資產(chǎn)上的主機(jī)鏡像以預(yù)防用戶安裝未經(jīng)授權(quán)的軟件。鎖定特定組織里非正常行為遠(yuǎn)比對(duì)著長(zhǎng)長(zhǎng)的信息技術(shù)基礎(chǔ)設(shè)施庫(kù)(ITIL)故障清單去處理儀表板上彈出的一個(gè)個(gè)IDS/IPS和SIEM警告要簡(jiǎn)單得多。

事實(shí)上，全部資源投入到研究組織內(nèi)部的動(dòng)態(tài)行為上遠(yuǎn)比浪費(fèi)在追逐警告和產(chǎn)生故障清單數(shù)據(jù)要好得多。

6.用好白名單和黑名單

這需要定好基準(zhǔn)底線，但同樣需要主動(dòng)的全球惡意軟件分析。應(yīng)該從其他很多組織的事后報(bào)告中研究攻擊指示器、威脅情報(bào)和事件，而不僅僅局限于你所在的組織。然后，將研究成果應(yīng)用于組織中不斷發(fā)展的安全基準(zhǔn)中。

7.建立漏洞管理和補(bǔ)丁管理程序

將網(wǎng)絡(luò)所有硬件、軟件和用戶組，打散嵌入到每日、每周、每?jī)芍芑蛎吭乱淮蔚娜蝿?wù)計(jì)劃表中。這樣一來(lái)，所有部分至少每90天就能被掃描一遍，給最新的漏洞打上補(bǔ)丁。

為每個(gè)部分建立一張聯(lián)系人列表，負(fù)責(zé)解決已發(fā)現(xiàn)的漏洞和失效的補(bǔ)丁。這樣至少可以創(chuàng)建一個(gè)將測(cè)試和彌補(bǔ)漏洞當(dāng)成常態(tài)的合作氛圍，而不僅僅是合規(guī)操作或?qū)徲?jì)等等。

8.建立協(xié)同工作環(huán)境

將在辦公室里充分利用在線和虛擬滲透測(cè)試、惡意軟件分析和取證工具、網(wǎng)站、實(shí)驗(yàn)室等當(dāng)成常態(tài)，而不是例外情況。為你的團(tuán)隊(duì)建立一套每周在不同領(lǐng)域交叉培訓(xùn)的機(jī)制。

打造一支組織團(tuán)隊(duì)參與全球性的攻防競(jìng)賽和組織內(nèi)部的類似競(jìng)賽。建立內(nèi)部百科和培訓(xùn)課程，讓弟兄們可以每周或者每月互相學(xué)習(xí)。

這樣就能在預(yù)算不足以支持飛去參加各大會(huì)議和常規(guī)培訓(xùn)的時(shí)候也能讓你的現(xiàn)有員工繼續(xù)成長(zhǎng)了。最好的團(tuán)隊(duì)是成員間相互合作且能交叉培訓(xùn)共同成長(zhǎng)的團(tuán)隊(duì)。這對(duì)團(tuán)隊(duì)散布各地且各部門間職能分散的大型組織而言尤其重要。讓協(xié)同合作的文化成為常態(tài)，而不僅僅是一個(gè)小插曲。

9.留出成長(zhǎng)和成功的機(jī)會(huì)

領(lǐng)導(dǎo)經(jīng)驗(yàn)、培訓(xùn)和首要與次要職責(zé)之間的位置轉(zhuǎn)換對(duì)個(gè)人而言通常很重要，而且長(zhǎng)期來(lái)看公司也是穩(wěn)賺不賠的。這一條實(shí)施起來(lái)與上面第8條類似，這一次，交叉訓(xùn)練要在非技術(shù)人員間展開(kāi)。將進(jìn)一步使你的技術(shù)人員和非技術(shù)人員在其他首要與次要職責(zé)領(lǐng)域進(jìn)行交叉培訓(xùn)以獲取新的技能，進(jìn)一步建立一種相互尊重、交叉提高和經(jīng)常性交流的協(xié)同合作氛圍。

10.保持警醒

最后，即使你覺(jué)得萬(wàn)事ok，至少應(yīng)該每年兩次雇外人實(shí)際地或者通過(guò)網(wǎng)絡(luò)對(duì)你的組織進(jìn)行評(píng)估、滲透和審計(jì)。這樣你的組織才會(huì)從門衛(wèi)到高層都保持警醒。