构建技术堆栈是IT管理员、网络安全专业人员和企业主面临的最困难的任务之一。
这是因为构建一套生产力和网络安全工具需要一套谨慎的平衡行为。
原则上,越多越好网络安全您所部署的工具,您的系统就会越安全,但仅限于一个特定的点:如果您使您的堆栈过于复杂,它会变得难以管理,从而引入漏洞,以及增加您在技术系统上的前期投资。
Aberdeen和Cyber adAPT的一份报告发现,典型的六层企业技术堆栈(包括网络、存储、物理服务器以及虚拟化、管理和应用层)需要ciso来解决不少于16亿个版本57个供应商提供的336种产品的技术安装。
这个问题由于大多数公司环境的日益动态而加剧。的增长远程工作软件解决方案人们对管理虚拟团队重新产生了兴趣VPN使用量逐步增加过去十年的发展表明,许多公司现在都在寻求开发可以有效部署在场外的网络安全堆栈,这带来了额外的复杂性。
在本文中,我们将回到基础。从根本上讲,构建有效的网络安全工具栈取决于若干关键原则。在您构建和开发自己的工具堆栈时,请记住这些,您将能够达到简单性和功能之间的平衡,这是一个伟大的工具堆栈的标志。
如何正确地构建安全堆栈
构建网络安全工具栈的第一步也是最重要的一步是制定网络安全和信息治理战略。这听起来可能是显而易见的,但许多组织仍然忽视了这一步:在接受调查的9,500名高管中,有44%普华永道2018年全球信息安全状况调查中表示,他们没有一个全面的信息安全战略。
如果没有一个彻底而严格的网络安全策略,几乎不可能建立一个真正减轻你所面临的威胁的工具堆栈。在没有战略监督的情况下开发的任何工具栈都可能受到许多相互关联的问题的影响。它要么不够广泛,无法处理威胁概况的广度,要么随着威胁数量的增长而迅速过时,要么无法对数据进行充分的监督,以满足治理和遵从法规的要求。
这方面可以举两个例子。的急剧加密劫持的兴起在过去的几年里,许多公司都感到惊讶,因为他们习惯于保护数据而不是他们的计算资源,如果没有定期的威胁审计,许多公司发现很难做出回应。同样,上升的互联网审查的规模在过去的十年中,许多传统的远程工作解决方案几乎毫无用处,因为公司已经理所当然地认为,不在现场的员工可以完全访问他们所需的所有在线资源和系统。
然而,也不全是坏消息。开发网络安全框架不仅仅是为了降低风险:它还可以提高生产力。在Tenable 2016年的调查中,95%的受访者有了适当的框架,我们已经看到了好处,包括更有效的安全操作、合同遵从性、成熟度,以及更有效地向业务领导展示安全准备的能力。伟德游戏
发现您的业务风险领域是什么
一旦你有了有效的风险管理框架,就该诚实地进行评估了最危险的网络安全漏洞你的业务所面临的风险,并优先考虑那些对你的业务的可持续性有最大影响的风险。
大多数网络安全分析公司会将一般企业面临的威胁分为不同类型五个元素:
- 系统和硬件的物理安全性,其中包括访问控制和零信任框架。
- 网络周边安全,它集成了入侵检测、入侵缓解和端点强化。
- 内部通信安全。这是一个广泛的领域,包括限制数据泄漏和损失的策略,以及对抗内部威胁的系统,这仍然是公司面临的一些最危险的漏洞。
- 事件响应也应该是任何网络安全战略的组成部分。即使是最安全的网络安全工具堆栈也不能100%保护您免受每种威胁,如何应对成功的攻击通常是持续业务可持续性的最重要因素。
- 最后,你的策略应该包括长期应对成功的攻击其中包括网络取证、调查和攻击后诉讼策略的流程。
这五个要素也包含在目前最全面的网络安全战略规划框架中:NIST框架.该框架包括五个原则(识别、检测、保护、响应和从威胁中恢复),反映了上述原则,并提出了一种从头到尾的处理网络威胁的方法。
采取多层次的安全方法
有了网络安全策略,您就可以开始投资所需的工具,以保护您的数据(和员工)免受网络威胁。将您的系统视为一系列元素,并遵循NIST框架的价值在于,这种方法强调了您的网络不是一个整体。系统的每个级别都应该进行防御,而这些防御工具都应该建立在最后一个级别的基础上。
从我们上面解释的分析中,我们可以得到两个主要的教训。一是公司应该在网络安全的五个要素上平衡他们的网络安全支出,因为最终你的系统的安全性取决于最薄弱的部分。第二,它指向了一种防御模式,这种模式最初由美国国家安全局推广,但现在已成为大多数企业网络安全战略的基本组成部分:“纵深防御”。
平衡你的堆栈
让我们依次考虑这两个观点。根据上述标题进行风险评估的主要价值在于,它允许公司根据所持有的数据类型以及漏洞最严重的地方来平衡其在网络安全堆栈工具上的投资。
例如,对于需要保护大量知识产权的企业来说,备份系统漏洞可能是一个主要的优先事项,以及需要部署更先进的网络安全工具的领域。这类公司还应该关注违规保护和入侵缓解,因为他们持有有价值(因此可能容易受到攻击)的数据。
另一种类型的公司,比如说专注于交付SaaS工具将需要优先考虑堆栈的不同部分。通过网络提供大部分服务的公司将需要更多地关注DDoS保护和服务器完整性。在这类公司中,可持续性由正常运行时间代表,而不是在数据中持有价值,在构建网络安全工具堆栈时,这应该为购买决策提供信息。
纵深防御
“纵深防御”的概念固有地包含在网络安全“堆栈”的思想中。在实践中,这意味着你的防御应该被组织成一系列的防御层,每一层都建立在最后一层之上。这也意味着,这些防御机制所使用的方法应充分多样化。
这里的核心思想是,应该向黑客提供一系列不断升级的防御和对策。考虑到你的堆栈可以在我们上面提到的五个层次上保护你,这也意味着你的工具应该尽可能多地使用以下技术:
- 终结点或杀毒软件
- 云电子邮件安全或高级威胁防护
- 身份验证和密码安全
- 存档
- 生物识别技术
- 以数据为中心的安全性
- 电子邮件连续性和DRPs
- 加密
- 防火墙(硬件或软件)
- 哈希密码
- 入侵检测系统(IDS)
- 日志记录和审计
- 多因素身份验证
- 漏洞扫描器
- 定时访问控制
- 互联网安全意识培训
- VPN (Virtual private network)
- 沙盒
- 入侵防护系统(IPS)
纵深防御还意味着,企业不应将自己的防御视为阻挡所有入侵者的坚不可摧的“墙”。相反,你应该接受,最终,你的一些第一线防线将被突破。
电子邮件安全就是一个很好的例子。绝大多数公司将使用微软或谷歌提供的电子邮件。这两个系统都有众所周知的安全漏洞,而且众所周知,绝大多数网络攻击都是从漏洞开始的网络钓鱼电子邮件。
试图在员工收件箱级别上阻止所有这些攻击基本上是不可能的,同时仍然提供员工高效工作所需的灵活性和功能。相反,公司应该关注下一个级别的安全:存储电子邮件的地方,对大多数公司来说,这将是云存储。
因此,电子邮件加密和员工培训对于防止网络攻击至关重要,确保深度防御还意味着为电子邮件部署加密云存储解决方案,并备份这些加密档案。
掌握网络安全
在使用上述框架时,您将立即认识到,构建安全的网络安全堆栈可能涉及投资来自多个供应商的多个工具。正如我们已经指出的那样,这种多样性对于确保强大的网络安全防御至关重要,但它也可能导致问题。
这是因为公司倾向于将安全服务分包给各个级别的网络安全堆栈,而没有仔细考虑每个供应商应该承担的责任。
因此,除了投资于高质量的工具之外,您的网络安全策略还应包括仔细规划哪些供应商将对系统的哪些部分负责:包括在操作基础上,以及在网络攻击后可能发生的诉讼时。
理想情况下,您与供应商的关系应该被视为业务合作伙伴关系,而不是简单的买方-供应商关系。高质量的供应商可以通过他们花费的时间和精力来理解您的需求,以及他们对需求的响应来识别。当涉及到保护您的数据时,一个值得尊敬的供应商还能够概述他们精确的操作和法律责任。
结论
在构建网络安全堆栈时,许多企业仍然表现出“目标固定”。根据他们所从事的行业,可能会倾向于只关注网络安全基础设施的一部分:例如,如果您的业务模式基于分析和数据获取,则保护数据;如果您从事营销工作,则试图使您的外联平台100%安全。
正如我们上面所展示的,这种方法是有问题的,因为它没有实现“堆栈”模型的核心洞见。你需要接受的不是在你的网络周围筑起所谓的坚不可摧的墙,而是最终会有人入侵它。到那时,他们将面临一系列不断升级的困难。
通过采用更全面的方法,您可以在堆栈的每个级别上提高安全性—无论您是使用营销数据还是物联网生态系统——并确保你的盔甲没有漏洞。
