随着网络威胁形势不断扩大,网络攻击变得越来越复杂,任何组织都必须做好充分准备,制定明确且可操作的网络防御策略。正如思科董事长兼首席执行官查克罗宾斯在2021 年 RSA 大会的主题演讲中指出的那样,网络犯罪在 2021 年在全球造成了估计 6 万亿美元的损失 (1)。此外,据估计,全球网络犯罪造成的损失每年增长约 15%,到 2025 年将达到 10.5 美元 (2)。随着远程工作在 covid-19 后大流行期间成为许多组织的常态,企业网络边界发生了变化,并且产生了更多的脆弱点。网络安全战略需要适应新出现的攻击。
本文提出了一种安全策略,该策略建立在完善的纵深防御概念之上,辅之以称为零信任的更新范例。在简要概述这两个概念后,我们将提供有关具体行动的更多详细信息,如果实施得当,这些行动将提高您的组织应对新兴网络攻击和风险的能力。
纵深防御概念
纵深防御的概念起源于军方,作为一种策略来提供障碍以阻止入侵者的进展,同时监控他们的进展并对事件实施响应。这一概念已被翻译并主要用于网络安全,作为一套分层的检测和保护性安全措施,旨在阻止网络攻击并减少违规后果。
由于信息系统架构在大型组织中可能非常复杂,因此可能会产生持久后果的潜在漏洞如果被利用,可能会在很长一段时间内未被发现。因此,纵深防御策略采用多层多层次的方法来提高检测网络入侵的概率和防御恶意威胁行为者的能力。下表显示了实施纵深防御安全时推荐的解决方案和策略。
纵深防御战略解决方案 | |
风险管理计划 |
|
网络安全架构 |
|
物理安全 |
|
网络架构 |
|
网络边界安全 |
|
主机安全 |
|
安全监控 |
|
供应商管理 |
|
用户管理 |
|
利用零信任原则实现更强大的安全态势并创建更灵活的环境
零信任是一个正在迅速成为规范的新兴概念。根据 Gartner 的研究,到 2025 年,超过 60% 的组织将把零信任作为安全的起点。
零信任是一种不隐式信任任何用户的安全范例。根据零信任原则,必须明确识别每个用户,并且只允许用户以最小的摩擦执行其业务功能所需的资源,同时降低风险。
如上图所示,零信任实现了工作地点的独立性。这在 covid 后环境中很重要,在这种情况下,在家或任何远程位置工作的需求急剧增长。
这代表了从以位置为中心的模型向更以数据为中心的方法的转变,并支持用户、系统、数据和资产之间的细粒度安全控制。
实施战略
我们了解我们的安全策略将基于纵深防御和零信任概念,以便我们可以在我们的信息安全计划中实施具体行动。
识别威胁行为者和资产
成功的信息安全计划始于与业务目的和目标一致的安全风险评估。作为风险评估的一部分,必须确定威胁参与者和任何暴露于这些威胁的情况。
在对所有信息资产进行识别和分类后,可以确定暴露程度,并确定与每项资产相关的风险概况。
应该注意的是,对任何企业的威胁在规模、能力、意图和操作方式方面各不相同。此外,威胁行为者也可能是组织内部的(内部威胁),并且可能故意或通过简单的人为错误导致安全漏洞。
在对威胁参与者和信息资产进行广泛的研究、识别和分类信息之后,下一阶段是开始确定优先级。
优先工作领域
在大型企业环境中,风险评估报告后要审查的项目列表似乎不胜枚举;但是,由于不能选择失败,因此必须根据风险状况、预期损失、恢复时间、更换成本等,设置优先级列表。
下一步是开始设置安全控制,这可以是技术的、管理的或物理的,具体取决于活动和目标资产的性质。
设置控制措施以阻止、检测、预防和纠正
首先,应确定现有控制措施的现状,并评估其缓解风险的有效性。
随着攻击者使用更复杂的技术不断提高他们的能力,防御机制应该适应并在能力、技术和安全人员能力方面保持领先。可以利用使用人工智能 (IA) 和机器学习 (ML) 技术的技术进行更准确的检测、预防和警报,以减轻人力资源的负担,减少误报。
安全控制通常是预防性的、威慑性的、检测性的或纠正性的。
正如信息安全管理系统 (ISMS) 的 ISO/IEC 27001:2022 框架中所述,预防性、威慑性或检测性类型的控制用于首先降低风险发生的可能性,或者至少使风险发生的可能性更大(3) 风险难以发生。因此,应审查风险和控制分析结果,以评估信息资产当前状态和期望状态之间的任何差距。
防止攻击(预防控制)
预防性控制的目标是防止事件发生,这意味着有效地阻止威胁行为者达到他们的目标。
最好的预期结果是预防控制始终有效。不幸的是,情况并非总是如此。预防性控制是根据风险评估结果、资产分类和优先顺序实施的。
预防控制的例子是
- 对全体员工进行安全意识培训。培训应定期进行,涵盖广泛的主题,为员工提供他们可能成为攻击受害者的示例场景,并解释如何降低对他们自己和组织的风险。典型的例子应该是培训员工识别钓鱼邮件,如何创建强密码和密码使用的最佳实践,了解社会工程技术等。应根据人员执行的工作职能分配有针对性的培训,并且必须注意采取措施确保将说明设置在适当的级别以便于使用。
- 应当适当地选择其他预防控制措施,包括防火墙,入侵检测系统(IDS),系统修补,防病毒程序安装,安全设置拧紧和基于角色的访问控制(RBAC)执法。
- 信息安全政策和程序必须随着环境的发展而更新和定期审查。
检测威胁行为者的活动(检测控制)
侦探控制用于提供可见性和报告;这有助于在威胁产生任何影响之前或之后立即检测到威胁。
应该注意的是,攻击很少突然发生。相反,攻击者通常通过多次侦察活动进行信息收集和系统架构映射等活动,然后最终使用欺骗性 IP 地址从多个随机源进行协同攻击。这些日益复杂的攻击技术使得区分恶意流量和合法流量变得困难。
考虑到这并非详尽无遗,以下是一些推荐的侦探措施。与“纵深防御”方法一样,如果不与现有控制相冲突或不削弱现有控制,则鼓励采取额外的反制措施。
活动日志
记录系统上的所有活动是一个很好的起点,可以将选定的关键或紧急日志定向到指定的系统,例如安全信息和事件管理 (SIEM) 以供分析。日志记录应包括所有登录系统失败的尝试、所有成功的尝试以及对系统配置和关键系统数据的所有修改。应记录和分类任何其他操作。 SIEM 可以生成广泛的分析和图表,从而更容易识别恶意趋势。
漏洞扫描
作为检测功能的一部分,应定期进行漏洞扫描。这可以安排在所有设备上自动运行,并且用户或安全专家会针对检测到的漏洞发出警报。
病毒和恶意软件扫描
定期扫描所有系统以查找病毒和其他恶意软件是必要的。应生成警报,并应在检测到任何病毒或可疑软件时立即采取行动。此外,应每天更新防病毒特征库。
身份和访问管理 (IAM)
可靠的身份和访问管理实践将提供更好的可见性和报告。当用户活动被适当记录时,异常活动变得更容易检测。有了良好的 IAM 支持强密码策略、多因素身份验证和基于角色的访问控制 (RBAC),合法用户只能访问执行其工作职能所需的信息(最小权限原则)
入侵检测系统
入侵检测系统是帮助检测可疑网络活动的关键工具。它们通常位于网络架构中的中心点(或入口点),并接收所有流量的副本以进行行为分析。现代 IDS 通常会使用人工智能和机器学习算法,通过预测模型(流量模式分类)发现异常流量模式。
审计
定期审计对于检测其他机制可能未注意到的安全漏洞、不良做法和事件违规非常重要。审计可以由内部或外部审计员进行,如果根据安全标准进行,审计将更加全面。例如,如果组织需要符合标准。
结论
随着网络攻击的数量逐年持续增长,威胁参与者继续使用更复杂的技术,有效应对新出现的网络安全威胁需要清楚地了解当前的安全挑战和具体的防御对策。在本文中,我们提出了一份建议的可操作项目列表,以成功应对新出现的威胁。更具体地说,我们建议在组织董事会和执行团队的支持下,通过强有力的治理和风险管理计划来实施良好的信息安全管理计划。在技术方面,我们提出了一种网络安全策略,该策略实施纵深防御安全方法并使用零信任范式来最大程度地降低组织风险和攻击影响。
