正因为安全事件层出不穷,公司才需要重视监视自己的系统,查找攻击者已经进入的迹象。
为了更好地防御和检测攻击,安全人员需要调查其网络,找到关键信息存在哪些位置,并使用这些信息来监视其关键资产并保障其安全。不幸的是,当今有不少企业的网络处于风险中,因为其设备配置不正确,或者缺乏衡量安全的知识和技术。
一、企业需要人和
“知彼知己,百战不殆。”公司需要调查其系统和网络。首先必须找出可以监视的信息源。公司不能仅监视防火墙的日志、网络数据、雇员使用网络和系统的方式等,还应当分析访问日志、域名请求以及地理位置信息等。
不过,获得这些信息并非易事,因为安全团队有可能并不管理某些资产。有些公司在安全问题上存在着不少障碍。例如,安全团队可能无法从防火墙管理人员那里获得信息,而这些数据却对解决安全问题至关重要。
所以,为了搞好信息安全,安全团队必须找到数据源并要求管理层准许其获得需要监视网络安全的数据。整个企业必须在安全问题上达成高度的一致。所谓“天时不如地利,地利不如人和。”
二、调查自己的网络
借助于各种日志和通信数据,安全团队需要找到进出网络的每一个方法和途径,其中包括每一个端点。
这听起来很简单。但据笔者所知,有不少公司并不知道或没法知道可以从网络外部访问哪些资源。收集关于网络的数据并不是一件简单的任务,许多公司在分析网络之前并不真正了解自己的网络以及网络上的每个设备。
高效地调查网络上的设备及各种资产的连接模式,能够使企业知道攻击可能来自哪些地方,并能够检测一些异常的使用模式。
三、知道在何处防御
在发现需要监视的信息源和网络的结构后,公司需要知道资产的业务功能,从而为监视和防御做好准备。
在面临一次攻击后,事件响应人员需要知道攻击者可能会去哪里,哪些数据可能会遭遇危险。
例如,漏洞扫描器对于任何一个网络来说都有很大的价值,因为控制这种工具的攻击者可以知道网络的弱点。
四、衡量安全而不是工作
仅仅依靠已经应用的更新的数量(例如,更新的反病毒定义)未必会使公司更安全。相反,这会使安全团队进行一些单调的工作。
安全是相对于不安全而言的,这是很难衡量的。你必须衡量的是安全形势,即你离下一个威胁有多远。
公司应当衡量可以改进的安全指标,如已经修复的漏洞数量。诀窍就是实现量化并能重复执行。
总之,公司的安全机制必须保持灵活性,要以大量的情报为基础。如果公司相信攻击者会专门针对其系统进行攻击,跟踪威胁可以成为一种关键的制胜因素。