趋势与观点 | 信任但验证—信息安全和风险管理的5大关键因素

“Doveryai,no proryai” 翻译为“信任,但要验证”,这是美国前总统罗纳德·里根 引用过的著名的俄罗斯谚语,意思是负责任的人在与任何人开展合作业务之前总是先验证一切,即使对方看起来完全值得信赖也是如此。由于当今的业务速度,业务总是受到不断演变发展的威胁和漏洞形势的挑战,应用信任但验证的信息安全和风险管理方法至关重要。通常,组织本质上相信自身的安全控制措施并已全面实施了按预期运行的能力。不幸的是,对于许多企业来说,情况并非如此。组织开始意识到,当审计、风险评估和安全审查发现它们的安全状况缺陷时,组织的环境并没有像以前想象的那样受到保护。最糟糕的情况是,组织可能根本不知道自己有多脆弱,直到经历了组织认为应该受到保护的重大安全事件时才如梦初醒。

信息安全和风险管理的信任但验证方法支持信息保证的概念。美国国家科学技术研究院 (NIST) 将信息保证定义为“通过确保信息和信息系统的可用性、完整性、身份验证、机密性和不可否认性来保护和捍卫信息和信息系统的措施。这些措施包括通过整合保护、侦测和反应能力来恢复信息系统。”

本质上,信息保证的目标是突出和验证用于保护信息系统的步骤。这种方法的成功实施需要多个层次的能力和活动,需要始终如一地应用并不断成熟。以下是实施信任但需验证的安全控制保证方法的 5 个关键考虑因素:

使用多种工具核实和验证资产清单人们无法保护他们不知道的东西。业务流程、流程所支持的数据和技术资产,以及与之相关的安全控制措施的准确清单对于全面的信息安全和风险管理计划至关重要。通常,未包含在运营清单中的技术资产(即配置管理数据库 [CMDB])在基本安全保护维护活动中处于落后位置,这些活动包括访问审查、修补和固化等。清单应考虑操作系统、应用程序清单和(专有和开源)应用程序代码、资产支持和/或与之交互的业务流程和数据,以及支持的安全功能和控制措施。攻击者通常会瞄准他们认为会被忽视或难以清点的技术资产(如物联网 [IoT] 设备;联网多功能打印机;联网的供暖、通风和空调 [HVAC] 控制系统;以及任何其它与组织的操作环境或敏感数据访问有网络连接的端点)。在大多数情况下,技术基础设施运营团队负责创建和维护资产清单,并将这些资产视为真实来源。他们经常使用通用 IT 系统管理平台实现这一点。但是,这些平台仅提供单一的洞察力来源,并且仅与操作它们的技术人员一样有效。信息安全和风险管理小组应考虑使用独立的技术资产发现工具验证资产清单:IT 组织信任并作为其活动基础的运营清单是全面的、最新的和准确的。理想情况下,安全运营的资产发现工具产生的结果应该与 IT 运营清单中存在资产的相同。两组不同工具的输出存在的差异可视作一个关键绩效指标 (KPI),表明工具无法正常运行,需要采取进一步措施协调和验证 IT 资产清单的准确性。

使用漏洞管理扫描工具确保正在打补丁并实施加固设置全面的系统和应用程序修补和加固是需要在组织内积极维护的基础且必不可少的安全能力。大量数据泄露和安全事件研究表明,如果组织有效地修补和加固其技术基础设施,就不会发生大量公开披露的安全事件。许多企业信任原生操作系统和系统管理工具来实施补丁和加固设置。不幸的是,当这些工具仅取得部分成功或根本没有成功时,它们通常会不准确地报告成功。漏洞管理工具是当前行业领先的实践,用于验证 IT 资产上补丁和固化设置的成功实施。应操作这些工具,以便它们具有对所有联网资产的特权访问权限,并能够进行全面的扫描和分析(即经过身份验证的扫描)。此分析的输出应由 IT 运营团队审查,并与系统管理工具的结果进行比较,以确保结果始终匹配。任何差异都应被视为表明 IT 修补和固化流程未按预期运行的 KPI。这也可能是受到损害(IoC) 的一个指标,需要进行调查以确保恶意行为者没有操纵任何有问题的资产,来影响资产的完整性或降低其安全级别。

使用访问审查验证最小权限访问得到了始终如一的应用最小权限原则 (PoLP)所基于的理念是个人或系统只应获得完成批准任务所需的权限。该原则被认为是当前信息安全和风险管理方面的行业领先实践,是许多组织的关键安全控制措施。最小权限理念的监督和执行通常与使用访问审查作为验证或保证控制措施关联。访问审查是通常与技术基础设施和物理环境中的用户和系统帐户审查相关的验证控制措施。访问审查是评估用户和系统凭据及其相关权利的存在需求的系统过程。在许多情况下,组织精于在员工入职和离职时,对员工在组织环境内的系统访问进行初始配置和终止授权。然而,这些企业可能缺乏有效管理网络上活跃的个人和系统访问所需的能力,这些人员的角色或功能自最初入职以来已经发生了改变。在这些情况下,用户和/或系统可能被授予了在其初始和新的访问要求之间重叠的特权。这些重叠的特权最初的目的是只在过渡期间出现,但是最初的要求有时会在超出所需期限后无意中保留。组织应使用基于风险的方法定期执行访问审查,确保用户和系统只能访问他们在当前角色中取得成功所需的内容。

在生产环境中使用时点渗透测试和持续安全态势测试技术渗透测试可以成为评估 IT 能力的安全态势和控制措施有效性的有效保证工具。在生产环境中部署重大技术和/或操作更改之前,应由独立的第三方安全测试人员执行时点、人工指导的技术渗透测试,并且是在当组织确定其威胁格局发生重大变化之时或之后每年至少进行一次。一旦组织认为它已对将要测试的技术资产实施了有效的安全措施和控制时,就应执行这些测试。然后,这些测试成为所实施的安全控制措施有效性的验证措施。理想情况下,这些渗透测试由不同的安全专业人员和/或公司在每个测试期间进行,以最大程度地减少任何个人或公司的单一观点可能产生的偏见风险。这些测试的结果应由组织的安全人员和业务流程所有者审查,以识别风险并评估架构、设计和安全控制中的弱点。持续的安全态势测试可以提供持续的自动化保证机制,以测试与人工驱动的渗透测试活动互补的安全功能和控制的有效性。这些解决方案应该应用于高风险和/或高价值的技术环境。它们应配置为针对极有可能发生的技术威胁场景的测试环境,监控安全控制有效性并定期更新威胁情报,以确保方法和策略是最新的。

需要支持审计和审查的制品和证据—内部和第三方风险评估以及安全审查已成为许多组织的常规做法。其中许多审查使用问卷进行,这些问卷的内容通常很详细,但缺乏确保所提供答案准确性所需的保证机制。如果没有独立和客观的证据支持,答案可能是不正确的或需要解释的。对于高风险目标,关键问题的答案应该有制品和证据支持。应在风险评估和安全审查过程中定义对提供的制品的期望,以限制错误解释或歧义。一旦收集完成后,这些制品应由专门研究问卷中所涉及领域的知识渊博的主题专家进行审查。

有效的信息安全和风险管理计划和活动可以通过信任但验证的方法得到支持。对手方面则不断寻找目标安全态势中的弱点。当今商业活动的快速变化和演变使得错误和疏忽很容易发生。使用信任但验证的方法可确保实施适当的制衡,并保证全面有效的安全能力和控制措施到位,以满足它们保护的个人和组织的期望。

编者注:本文首次发表于2021年11月3日ISACA官网News and Trends /Newsletters /@ISACA。尾注略。文章内容仅代表作者本人观点。
作者:John P. Pironti, CISA, CRISC, CISM, CGEIT, CISSP, ISSAP, ISSMP。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。