高效安全團(tuán)隊(duì)的7個(gè)習(xí)慣
2018年10月11日
安全需要聰敏的人員、過(guò)程和技術(shù)(PPT)����。但該P(yáng)PT方程式中“人(P)”的部分往往被忽略掉了。
互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)預(yù)測(cè)���,全球數(shù)字化轉(zhuǎn)型技術(shù)開支今年將達(dá)1.3萬(wàn)億左右�。但防控現(xiàn)代威脅需要的不僅僅是技術(shù)解決方案����,還需要強(qiáng)有力的安全團(tuán)隊(duì)��。
強(qiáng)安全團(tuán)隊(duì)由什么組成?
如果你已經(jīng)遭遇過(guò)惡意軟件感染或別的安全事件��,你可能就會(huì)覺得自己的安全團(tuán)隊(duì)肯定稱不上強(qiáng)安全團(tuán)隊(duì)��。然而�����,個(gè)別事件代表不了團(tuán)隊(duì)的能力����。
基于與數(shù)百名安全人員和一些全球安全意識(shí)的組織共事的經(jīng)驗(yàn)���,可以得出高效安全團(tuán)隊(duì)具備的7個(gè)習(xí)慣�。
1. 投資威脅情報(bào)����,不寄希望于安全萬(wàn)靈丹
安全技術(shù)只是達(dá)到目的的手段或方法��。盡管投入大量資源�����,公司企業(yè)仍常常在安全事件發(fā)生數(shù)月之后才檢測(cè)到,然后忙于在數(shù)據(jù)都滲漏出去之后的漏洞修復(fù)�����。
更糟的是�,這種事后分析通常都會(huì)發(fā)現(xiàn)之前被忽視掉的跡象。好的安全團(tuán)隊(duì)運(yùn)用技術(shù)以更為積極主動(dòng)地做出風(fēng)險(xiǎn)管理決策���。他們用技術(shù)綜合來(lái)自整個(gè)企業(yè)的數(shù)據(jù)�,方便分析師做出更為明智的決策�。
2. 了解哪些東西需要保護(hù)
攻擊者發(fā)動(dòng)攻擊總要有個(gè)最終目標(biāo)。成功的安全團(tuán)隊(duì)會(huì)從攻擊者的角度思考�����,了解每臺(tái)電腦�����、服務(wù)器和技術(shù)產(chǎn)品與該最終攻擊目標(biāo)之間的聯(lián)系�����,摸清這些設(shè)備和產(chǎn)品一旦被黑可能會(huì)給公司帶來(lái)的風(fēng)險(xiǎn)。
攻擊者花費(fèi)大量時(shí)間研究目標(biāo)和基礎(chǔ)設(shè)施��,尋找漏洞�,并重新評(píng)估每一步的環(huán)境。想要阻止攻擊���,就要了解攻擊者的這些行為模式��。隨時(shí)保護(hù)所有東西是不現(xiàn)實(shí)的——會(huì)按對(duì)公司的重要程度給資產(chǎn)和可能的攻擊途徑排個(gè)優(yōu)先級(jí)的團(tuán)隊(duì)就具備了成為好團(tuán)隊(duì)的潛質(zhì)����。
3. 明白警報(bào)并不全面
高效的安全團(tuán)隊(duì)幾乎從不響應(yīng)安全警報(bào)����。相反,他們將警報(bào)當(dāng)成定義優(yōu)先級(jí)的風(fēng)險(xiǎn)評(píng)估中的另一數(shù)據(jù)點(diǎn)�����。
盲目追逐每一個(gè)警報(bào)是安全團(tuán)隊(duì)通往失敗的坦途����,只會(huì)制造混亂�,對(duì)改善公司安全狀況毫無(wú)用處��。好的安全團(tuán)隊(duì)會(huì)在上下文中考慮警報(bào)的嚴(yán)重性����,綜合進(jìn)諸如攻擊目標(biāo)和攻擊行為對(duì)公司造成影響的可能性等其他因素���。高效安全團(tuán)隊(duì)會(huì)將可能導(dǎo)致大傷害的事件列為頭等大事���。
4. 清醒認(rèn)識(shí)AI替代不了人類直覺
用人工智能和機(jī)器學(xué)習(xí)替代安全團(tuán)隊(duì)或許是安全行業(yè)中炒作為危險(xiǎn)的一個(gè)趨勢(shì)。
人類決策是創(chuàng)建和實(shí)現(xiàn)強(qiáng)企業(yè)安全不可或缺的��,因?yàn)槿祟惖亩床炝梢匝a(bǔ)償數(shù)學(xué)模型的固有局限���。技術(shù)投資應(yīng)聚焦支持安全團(tuán)隊(duì)和自動(dòng)化繁瑣任務(wù)����,比如要求高度面向過(guò)程專業(yè)知識(shí)的取證調(diào)查���。好的團(tuán)隊(duì)民主化該職能��,充分賦予人類員工做出重要風(fēng)險(xiǎn)管理決策的權(quán)力�����。
5. 溫故知新�,防患未然
好的團(tuán)隊(duì)從過(guò)往攻擊中學(xué)習(xí)積累經(jīng)驗(yàn)以在未來(lái)更好地保護(hù)自身。盡管攻擊者會(huì)改進(jìn)其惡意軟件和工具��,他們的策略往往大體不變��。為成熟的安全團(tuán)隊(duì)不僅僅觀測(cè)惡意軟件�����,他們審查異常行為和不屬于自身環(huán)境的行為���。
6. 視安全為團(tuán)隊(duì)運(yùn)動(dòng)
Cybersecurity Ventures 宣稱�����,到2021年����,全球網(wǎng)絡(luò)安全職位空缺將達(dá)350萬(wàn)個(gè)����。安全團(tuán)隊(duì)需打造下一代安全人員隊(duì)伍。成功的團(tuán)隊(duì)通過(guò)創(chuàng)建保證可重復(fù)性結(jié)果的過(guò)程來(lái)泛化隊(duì)伍���?����?芍貜?fù)的戰(zhàn)術(shù)手冊(cè)能夠被團(tuán)隊(duì)中任何成員使用����,好的團(tuán)隊(duì)不僅擁有可重復(fù)的戰(zhàn)術(shù)手冊(cè)��,還具備一定的機(jī)制以保留�、共享和應(yīng)用自身積累的技術(shù)知識(shí)。
7. 不斷精進(jìn)
好的團(tuán)隊(duì)通過(guò)測(cè)試漏洞和記錄評(píng)估結(jié)果����,持續(xù)改進(jìn)自身安全配備。該信息饋送給安全團(tuán)隊(duì)�,他們便可識(shí)別并清除掉網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的漏洞。這種集體負(fù)責(zé)制的文化確保了整個(gè)團(tuán)隊(duì)都專注于更宏觀的目標(biāo)���。
企業(yè)防御工作一直在發(fā)展進(jìn)化��。我們很容易落入只有購(gòu)買最新安全技術(shù)才能更好地保護(hù)企業(yè)安全的思維陷阱�����。然而��,甚至在安全方面豪擲上億美元的企業(yè)都會(huì)遭遇安全事件��。
安全需要綜合投資人員����、過(guò)程和技術(shù),但這三者間“人”的部分往往會(huì)被忽視����。
