企業如何知道自己是否已真的準備好應對網絡攻擊?事實上,我們可利用網絡安全準備目标來顯著提高企業的安全狀态。下面讓我們看看如何實作:
網絡安全計劃
網絡安全計劃通常将風險評估中确定的關鍵資訊資産與核心業務流程、目标和任務相關聯。
在這種情況下,企業将其客戶資訊資料庫作為關鍵資訊資産,支援着企業營運。網絡安全計劃還将确定安全要求以及做法,以保護客戶資訊資料庫以及關鍵業務流程。
資訊安全架構
資訊安全架構的基本概念是,如果流入、流出以及流經資訊網絡的流量無法被看到,則無法有效監控。
在這種情況下,企業确實有足夠的網絡監控來檢測攻擊期間流出網絡的客戶資料,而不是在攻擊發生的幾個月或者幾年後。作為事後分析的一部分,企業的資訊安全架構的性能将被評估,并将得出相關建議進行潛在變更。可能的變更包括為電子郵件和其他協定使用應用程式代理服務、控制資料傳輸、建構資料丢失保護系統以及改進整體網絡監控。
風險管理
作為風險管理計劃的一部分,企業必須首先确定關鍵資訊資産。随後風險管理計劃可擴充到識别關鍵人員、業務流程和技術。
風險管理還要求你了解為什麼所選的關鍵資産對營運、任務完成和業務連續性很重要。這些因素是網絡安全計劃的核心要素。
在這種情況下,企業應利用風險管理流程的結果來制定網絡安全保護戰略。這樣一來,企業可發現釣魚郵件攻擊以及遠端通路作為重大風險。
身份管理
身份管理是核心安全管理功能,它旨在提高安全性和生産力,同時減少備援和降低成本。
在這種情況下,企業應稽核其身份和通路管理政策、流程和過程以提高角色定義,防止使用者網絡登入憑證通路關鍵資訊資産,例如客戶資訊資料庫。此外,雙因素身份驗證被認為是改善企業身份管理計劃的重要組成部分。
授權和問責制管理
當使用者身份由身份管理系統驗證後,則會根據通路控制模型以及政策由授權管理系統來授予使用者通路權限。問責制管理則讓企業可獲得網絡資源如何被通路和使用的完整視圖。
在這種情況下,企業将會審查其授權要求,并確定網絡通路不意味着完全的管理者通路。此外,審查将實施雙因素身份驗證,并防止遠端使用者獲得管理者資料庫通路權限,還将通路限制到正常業務時間。
網絡監控
網絡監控和流量分析技術說明,網絡營運商還有空間改進其網絡安全。
了解企業網絡實際如何運作、通過已知安全網關整合流量,并通過各種監控工具密切觀察流量,這些都是網絡安全領域仍然有很大改進空間的領域。
在這種情況下,企業确實檢測到客戶資訊被删除,但沒有檢測到原始事件向量—網絡釣魚郵件。作為整體網絡監控審查的一部分,企業應改進ip位址過濾、為電子郵件添加應用代理,并考慮完整的資料丢失保護系統。
在事故響應中soc的作用
當事件相應小組最初形成時(第一個電腦安全響應小組于1998年建立,現在被稱為cert),事故響應往往是大型企業和政府機構的獨立活動。
現在,事故響應活動的構成發生了巨大變化。
在20世紀20年代初,管理和預算辦公室要求所有美國聯邦行政機構各自運作自己的安全營運中心(soc),并将所有安全警報發送到soc進行分析。事實上,soc的主要作用已經變成事件檢測。
最終,所有自動化安全警報、使用者報告、漏洞通知、來自cert的公告和其他資訊都發送到soc進行分析。随着soc成為所有安全相關報告和警報的分類點,它也成為計算機安全事故響應的前端。
計算機安全事故響應是一種響應服務,隻有當檢測到網絡安全事故時才被激活,并且,它側重于網絡安全事故的技術方面。
另一方面,安全事故管理側重于業務規劃,旨在保護核心業務功能的連續性以及支援這些業務功能的資訊資産。了解業務目标和流程以及其安全要求以及資訊資産,可更好地了解如何保護業務連續性,并在網絡安全事故發生時實作更有效的事件響應。
整合安全事故管理到安全操作中心可提高事件檢測能力以及事故響應的有效性,并可幫助企業整合網絡安全準備就緒的所有必要元件。
作者:鄒铮
來源:51cto