趋势与观点 | 建立网络防御时需要考虑的因素:第2部分
为了取得成功,组织必须了解需要保护哪些资产免受网络安全风险的影响,以及可以使用哪些预防措施来做到这一点。为了达成这个目标,互联网安全中心 (CIS) 建议评估 10 个类别。前五个类别在“建立网络防御时要考虑的因素:第 1 部分”中进行了描述。本文对其余部分进行了研究,可用于进一步加强企业网络卫生。
日志管理
首先应实施日志管理策略,该策略为识别、收集和管理日志文件提供方向。策略到位后,可以选择日志管理工具。日志管理工具因使用情况和日志文件的所需保留期而异。常见的工具命名约定包括事件日志管理器、安全信息和事件管理 (SIEM) 以及安全信息管理 (SIM)。
在选择和实施日志管理保护措施时要记住的一些注意事项包括:
-
导入的日志大小
-
日志的存储时间长度
-
日志的保留期
-
所需的日志类型
-
监管、法律或合同义务
-
谁有权查看或修改日志?
-
如果日志服务器遭到入侵,企业是否需要灾难恢复计划?
恶意软件防御
恶意软件防御是信息安全的基本要求。恶意软件防御中使用了两种主要工具:反恶意软件和域名系统 (DNS) 服务。重要的是要考虑到自动化在执行所有恶意软件工具中起着至关重要的作用。自动化使反恶意软件能够更快地响应检测到的威胁,使企业有更多时间响应潜在事件并从中恢复。企业在采购过程中可能遇到的常见工具包括防病毒软件、端点检测和响应 (EDR)、端点保护平台 (EPP) 或端点安全服务 (ESS)。
选择和实施日志管理保护措施时要考虑的事项包括:
-
企业面临哪些类型的威胁?
-
企业是否有一个流程来指导人员在怀疑和/或检测到潜在的恶意活动时该怎么做?
-
该工具是否根据签名和/或行为检测威胁?
-
反恶意软件是否集中管理?
-
可以在远程设备上管理反恶意软件吗?
数据恢复
数据恢复是现代信息和网络安全领域的另一个基本但关键的组成部分。如果所有控制都失败,那么拥有(或没有)备份可能会成就或破坏企业。强制执行指定数据备份和恢复机制的数据恢复策略、过程和流程非常重要。数据备份和恢复工具的选择很大程度上取决于结构(例如,通过网络分段在本地、异地、云)、备份的保留时间、备份类型(完整备份与增量备份)以及备份的大小。企业在采购过程中可能遇到的常用工具包括备份软件、备份管理器、数据恢复产品或备份和恢复软件。
实施数据恢复保护措施时要问的几个问题包括:
-
每台设备应多久执行一次备份?
-
企业希望创建哪种类型的备份(例如,完整备份、增量备份)?
-
备份将存储在哪里(例如,异地、云、不同网段的本地)?
-
需要多少空间来存储备份?
-
备份将保留多长时间?
-
备份是否可以集中管理?
-
可以在远程设备上执行备份吗?
-
备份是自动执行还是手动执行?
安全培训
在建立安全培训和意识计划时,制定政策非常重要。网上有如此多的免费资源(例如,视频、链接、文章、在线练习),许多企业不需要花费大量资金来教育员工网络安全。
在选择工具或资源集时,应确保它们涵盖以下领域:
-
社会工程学
-
身份验证最佳实践
-
数据处理最佳实践
-
如何识别和报告安全事件
-
如何发现潜在的漏洞
-
将企业资产连接到不安全网络的危险
有许多全面的资源,包括在线和面对面的培训资料,可用于安全意识计划。由于创建安全培训计划可能是劳动密集型的,因此企业可能会考虑将部分工作外包,具体取决于其人员的可用性和技能组合。
实施培训保障措施时要考虑的事项包括:
-
企业雇用了多少人?
-
第三方供应商和服务提供商是否也需要培训?
-
培训是现场进行还是虚拟进行,还是两者兼而有之?
-
是否有任何职位需要额外的技能培训?
-
企业是使用免费工具还是商业支持工具,在一个平台上提供各种培训材料和报告?
-
培训计划多久进行一次?
-
谁来主持培训?
-
培训工具中是否有可用的报告和仪表板?
事件响应
事件响应是任何信息和网络安全计划的另一个关键方面。制定事件管理政策和事件响应计划至关重要,这些策略和事件响应计划应考虑到所有适用的法律、法规和法定要求。这还应包括指定人员管理事件处理、创建在发生事件时引用的联系人列表以及建立报告事件的流程等活动。
在制定事件响应计划时,应考虑以下几点:
-
内部人员或第三方是否负责管理事件?
-
在发生事件时应联系谁(例如,法律、人力资源 [HR]、IT、通信/公共关系、执法)?
-
人员如何报告事件(或疑似事件)?
-
上述信息如何传达给人员?
-
备份必须以多快的速度可用?
结论
对 IT 更新换代、软件淘汰和额外培训需求带来的网络安全生命周期成本进行预算是至关重要的。商业化的工具应附带文档,与现有平台和软件兼容,并清楚地了解这些工具将支持多长时间。企业可以采取的最重要的行动应从现在开始,不要等到违规或成为网络安全事件的受害者。做出明智且优先的决策,以便在事件发生之前建立强大的防御措施。
编者按:本文于2023年11月8日首次发表于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。
作者:HAFIZ SHEIKH ADNAN AHMED, CGEIT, CDPSE, GDPR-CDPO , 是信息和通信技术(ICT)治理、网络安全、业务连续性和组织韧性、数据隐私和保护、风险管理、企业卓越和创新以及数字化和战略转型等领域的分析思想家、作家、认证培训师、全球导师和顾问。分别于2021年和2022年获得由中东海湾合作委员会安全研讨会和中东网络哨兵组织颁发的年度首席信息安全官(CISO)奖。
翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。