趋势与观点 | 建立网络防御时需要考虑的因素:第1部分
许多企业都在寻求一个能够以合理成本搭建网络安全体系的起点。实现这一目标的基石是实施网络安全框架,如美国国家技术研究所(NIST)的网络安全框架(CSF)。NIST CSF基于五大战略支柱:
-
识别并推动组织对系统、资产、数据和能力的安全风险管理的认识。
-
通过制定和实施适当的保障措施予以保护,确保服务的提供。
-
检测安全事件的发生。
-
响应攻击,最大限度地减少对资产和所有利益相关方可能造成的伤害。
-
恢复和复原因事故而受损的能力或服务。
要从五大支柱中获得最大收益,组织必须了解三件事:
-
希望保护什么以及应使用哪些保护措施
-
实施这些保护需要哪些工具
-
实施成本
要确定这些内容,组织可以从基础能力开始。互联网安全中心(CIS)建议从以下10个类别入手:资产管理、数据管理、安全配置、账户和访问控制管理、漏洞管理、日志管理、恶意软件防御、数据恢复、安全培训和事件响应。(本文阐述前5个类别,后5个类别在第2部分进行阐述)
资产管理
建立网络防御的第一步是制定企业资产和软件资产的管理政策。许多资产管理工具都能对两者同时进行跟踪,常用工具从电子表格到全自动工具都有,企业可自行决定哪种工具最适合自己的需要。企业在采购过程中可能会遇到的常见术语包括服务台软件、IT资产管理(ITAM)工具、IT库存管理工具、网络清单和发现工具或网络IP扫描器。
重要的是要考虑:
-
企业网络中大约有多少资产?
-
是否有属于自带设备(BYOD)政策的资产?
-
是否有连接到网络的远程资产(如移动或便携式终端用户设备)?
-
这些资产属于哪种环境类型(如内部部署、云、混合)?
-
是否需要使用额外的工具实现流程的完全自动化?
-
该工具是否执行其他功能(如供应商/合同管理、建立安全配置、漏洞管理)?
-
工具是基于代理还是无代理?
-
该工具是否同时跟踪企业资产和软件资产?
数据管理
企业必须执行有关数据管理流程的政策。下一步是编制数据清单,特别是敏感数据的清单。还必须努力加密数据以保护机密性。数据管理类别中常见的工具名称包括治理、风险与合规(GRC)工具、数据防丢失(DLP)工具或电子发现工具。
采购数据管理工具时需要考虑的问题包括:
-
企业处理什么类型的数据?
-
数据存储在哪里(如文件服务器、数据库)?
-
数据的敏感度如何?
-
数据存储在什么类型的环境中(如云、内部部署、混合环境)?
-
是否有处置数据的流程和/或工具?
-
设备级加密是在操作系统本身提供,还是需要一个单独的工具?
-
集中管理加密的工具是否已经就绪?
-
法律是否要求企业遵守某些标准、法律或法规?
安全配置
首先,通过创建策略建立安全配置流程。下一步是确定如何安全配置设备。无论企业采用哪种机制、准则或建议,都应确保满足基本的安全原则,如移除/禁用默认账户、加密、日志记录和保护直接暴露在互联网上的设备。
除了实施安全配置外,还包括使用安全外壳(SSH)和超文本传输协议安全(HTTPS)等协议以安全的方式管理配置。确保企业网络安全的另一个重点领域是防火墙,包括为终端用户设备和服务器实施防火墙。
在选择合适的工具时要注意的事项包括:
-
企业希望采用哪种部署方式(如手动、全自动、半自动)?
-
哪些环境需要安全配置(如内部部署、云、混合)?
-
是否有供应商提供的安全配置,还是由第三方提供?
-
第三方的信誉是否良好?
-
企业是否有一套视为基线的安全配置?
-
企业如何计划跟踪对基线的配置变更?
-
如何验证和维护安全配置?
-
企业是否需要遵守有关安全配置的标准或法规?
-
工具能否自动、集中或远程部署配置?
账户和访问控制管理
从制定访问和身份管理政策开始。确保建立授予和撤销账户和权限的流程。账户和访问控制管理的常用工具包括身份和访问管理(IAM)工具、特权访问管理(PAM)工具、账户发现工具、身份管理工具、用户管理工具、密码管理器或多因素身份验证(MFA)。
在账户和访问控制管理中实施控制时涉及的问题包括:
-
企业是否制定了账户和访问管理政策?
-
企业目前管理多少账户?
-
这些账户分别是哪种类型(如服务、用户、管理员)?
-
哪些账户需要管理权限?
-
企业在什么类型的环境中拥有账户(如内部部署、云、混合)?
-
企业是否制定了入职和离职时管理账户和访问控制的流程?
漏洞管理
建立漏洞管理流程的最佳方式是首先制定政策。此外,还应制定修复流程,确定修复频率和补丁的优先级。漏洞管理类别中的常用工具名称可能各不相同。企业在采购过程中可能会遇到的一些替代工具的名称,包括漏洞管理工具、端点/客户端管理工具或自动更新。
在实施补丁程序管理的保障措施时,需要牢记的一些注意事项包括:
-
企业目前有多少设备需要定期实施补丁?
-
在补丁管理生命周期内,是否有遗留系统可能受到影响?
-
是否应该/能否重建这些系统以接收补丁程序?
-
需要采取哪些补偿性控制措施降低被利用的风险?
-
补丁是手动部署还是自动部署?
-
是否会部署和集中管理补丁?
-
能否向远程设备推送补丁?
-
正在管理哪种类型的环境(如云、内部部署、混合环境)?
-
企业多长时间部署一次补丁?
-
在部署之前是否会测试补丁?
结论
适合企业的最佳工具在很大程度上取决于需求以及在预算、资源和时间方面的限制。市场上有多种类型的工具,包括免费、商业支持和开源解决方案。企业无论选择哪种工具,要想取得成功,必须在采购前权衡风险和收益。
编者按:本文于2023年9月20日首次发表于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。
作者:HAFIZ SHEIKH ADNAN AHMED, CGEIT, CDPSE, GDPR-CDPO,是信息和通信技术(ICT)治理、网络安全、业务连续性和组织韧性、数据隐私和保护、风险管理、企业卓越和创新以及数字化和战略转型等领域的分析思想家、作家、认证培训师、全球导师和顾问。分别于2021年和2022年获得由中东海湾合作委员会安全研讨会和中东网络哨兵组织颁发的年度首席信息安全官(CISO)奖。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。