在今天的網(wǎng)絡(luò)安全建設(shè)中,安全運(yùn)營(yíng)團(tuán)隊(duì)無(wú)疑發(fā)揮著非常重要的作用。

盡管他們并不負(fù)責(zé)研發(fā)安全工具,也不直接決定企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略,但他們始終站在網(wǎng)絡(luò)安全防護(hù)的第一線：部署防護(hù)工具、監(jiān)控系統(tǒng)運(yùn)行狀態(tài),并在威脅發(fā)生時(shí)進(jìn)行應(yīng)急響應(yīng)。

為了做好網(wǎng)絡(luò)安全運(yùn)營(yíng)工作,安全運(yùn)營(yíng)團(tuán)隊(duì)必須充分了解現(xiàn)有的工作流程中存在的問(wèn)題和不足,不斷提升安全運(yùn)營(yíng)的效率。

以下總結(jié)了企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)中常見(jiàn)的5種風(fēng)險(xiǎn),并提供了應(yīng)對(duì)風(fēng)險(xiǎn)的優(yōu)化建議。

風(fēng)險(xiǎn)一。

對(duì)MFA過(guò)度自信。

過(guò)于信任多因素身份驗(yàn)證(MFA)是在企業(yè)中普遍存在的安全運(yùn)營(yíng)風(fēng)險(xiǎn)。

盡管部署MFA是一種可以顯著降低攻擊風(fēng)險(xiǎn)的最佳實(shí)踐。

然而,很多安全運(yùn)營(yíng)人員會(huì)盲目地認(rèn)為只要系統(tǒng)受到MFA的保護(hù),就不會(huì)受到攻擊。

但是現(xiàn)實(shí)情況是,一些高級(jí)的攻擊者經(jīng)常能夠找到繞過(guò)MFA的方法。

安全建議。

部署MFA只是企業(yè)抵御安全攻擊的基礎(chǔ)性要求之一,而非應(yīng)對(duì)攻擊的“萬(wàn)全之策”。

在此基礎(chǔ)上,安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該通過(guò)多種積極主動(dòng)的安全策略,減低企業(yè)的違規(guī)風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)二。

忽視SaaS應(yīng)用中的風(fēng)險(xiǎn)監(jiān)控。

SaaS應(yīng)用非常方便,因?yàn)闊o(wú)需經(jīng)過(guò)安全運(yùn)營(yíng)人員的安裝或授權(quán)就可以使用它們。

然而,這并不意味著安全運(yùn)營(yíng)團(tuán)隊(duì)可以忽視SaaS應(yīng)用程序的安全風(fēng)險(xiǎn)。

即便應(yīng)用程序完全由第三方供應(yīng)商管理,但其中的敏感數(shù)據(jù)泄露同樣會(huì)導(dǎo)致企業(yè)業(yè)務(wù)面臨風(fēng)險(xiǎn)。

此外,第三方應(yīng)用程序中難以避免會(huì)存在漏洞,如果未能在黑客攻擊之前采取措施緩解它們,也可能導(dǎo)致業(yè)務(wù)內(nèi)部遭到重大破壞。

安全建議。

安全運(yùn)營(yíng)團(tuán)隊(duì)必須確保將安全監(jiān)視和審計(jì)策略擴(kuò)展到SaaS平臺(tái)和其他第三方資源,而不僅僅是對(duì)企業(yè)網(wǎng)絡(luò)中的應(yīng)用程序和基礎(chǔ)設(shè)施進(jìn)行監(jiān)管。

風(fēng)險(xiǎn)三。

缺乏恢復(fù)計(jì)劃。

備份數(shù)據(jù)是防范勒索軟件、APT等新型攻擊的核心步驟之一。

但是,很多企業(yè)缺乏在攻擊發(fā)生后快速恢復(fù)數(shù)據(jù)、系統(tǒng)的計(jì)劃,因此數(shù)據(jù)備份很難充分發(fā)揮效用。

安全運(yùn)營(yíng)團(tuán)隊(duì)不能因?yàn)橛袛?shù)據(jù)備份,就認(rèn)為自己不會(huì)受到攻擊,這是一個(gè)錯(cuò)誤的認(rèn)知。

安全建議。

為了避免這種風(fēng)險(xiǎn),ITOps團(tuán)隊(duì)可以創(chuàng)建操作指南,準(zhǔn)確定義如何在數(shù)據(jù)泄露后恢復(fù)數(shù)據(jù)。

對(duì)數(shù)據(jù)進(jìn)行盤點(diǎn)也很有幫助,這樣就可以知道自己擁有哪些數(shù)據(jù)資產(chǎn),以及哪些備份與它們相關(guān)聯(lián)。

這些信息可能會(huì)將數(shù)據(jù)恢復(fù)過(guò)程從原本的數(shù)周甚至數(shù)月縮短至數(shù)小時(shí),對(duì)于大多數(shù)業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)來(lái)說(shuō),此舉可謂意義重大。

風(fēng)險(xiǎn)四。

不友好的密碼管理要求。

多年來(lái),企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)都認(rèn)為要對(duì)所有員工執(zhí)行嚴(yán)格的密碼管理要求,用戶設(shè)置的密碼要盡可能復(fù)雜,并需要頻繁地更新密碼,這樣才能確保賬戶的安全。

這些傳統(tǒng)的密碼管理準(zhǔn)則都是合理的。

但很多應(yīng)用實(shí)踐表明,如果用戶在管理密碼非常困難,就會(huì)出現(xiàn)很多違規(guī)的情況,比如把密碼明文寫在便利貼上,這樣無(wú)疑與密碼管理的初衷背道而馳。

安全建議。

NIST在2020年就已修訂了密碼應(yīng)用指南,鼓勵(lì)組織實(shí)施用戶友好型的密碼策略。

安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該盡快評(píng)估密碼應(yīng)用的實(shí)際效果,并制定新的管理要求。

風(fēng)險(xiǎn)五。

缺乏全面的安全監(jiān)控。

很多安全運(yùn)營(yíng)團(tuán)隊(duì)已經(jīng)認(rèn)識(shí)到安全監(jiān)控的重要性。

但是一個(gè)常見(jiàn)的錯(cuò)誤是只監(jiān)視某些關(guān)鍵的應(yīng)用和設(shè)備。

例如,安全團(tuán)隊(duì)可能會(huì)監(jiān)視應(yīng)用程序和網(wǎng)絡(luò),以發(fā)現(xiàn)可能出現(xiàn)安全風(fēng)險(xiǎn)的異常情況。

但是,如果企業(yè)不同時(shí)監(jiān)控服務(wù)器、應(yīng)用交付設(shè)備、API請(qǐng)求和存儲(chǔ)資源,就難以實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的整體可見(jiàn)性。

安全建議。

避免這種錯(cuò)誤的關(guān)鍵是部署全面的、全棧的安全監(jiān)控工具,然后關(guān)聯(lián)所有監(jiān)控?cái)?shù)據(jù),以獲得盡可能多的安全風(fēng)險(xiǎn)上下文信息。