了解如何为您的团队构建有效的安全堆栈

已发表: 2020-05-05

构建技术堆栈是 IT 管理员、网络安全专业人员和企业主面临的最困难的任务之一。

这是因为构建一套生产力和网络安全工具需要一套谨慎的平衡措施。

原则上,您部署的网络安全工具越多,您的系统就越安全,但仅限于某个特定点:如果您的堆栈过于复杂,则可能会变得难以管理,从而引入漏洞,并增加您的技术系统的前期投资。

Aberdeen and Cyber​​ adAPT 的一份报告发现,典型的六层企业技术栈——包括网络、存储、物理服务器以及虚拟化、管理和应用层——需要 CISO 应对不少于 16 亿个版本的336 种产品的技术安装,由 57 家供应商提供。

大多数企业环境日益动态的性质加剧了这个问题。 远程工作软件解决方案的兴起、对管理虚拟团队的新兴趣以及过去十年 VPN 使用的逐渐增加表明,许多公司现在正在寻求开发可以在异地有效部署的网络安全堆栈,这带来了额外的复杂性。

在本文中,我们将回到基础。 从根本上讲,构建有效的网络安全工具堆栈取决于许多关键原则。 在构建和开发自己的堆栈时牢记这些,您将能够达到简单性和功能性的平衡,这是出色工具堆栈的标志。

如何正确构建安全堆栈

构建网络安全工具堆栈的第一步也是最重要的一步是制定网络安全和信息治理战略。 这听起来可能很明显,但许多组织仍然忽视了这一步骤:普华永道 2018 年全球信息安全状况调查中接受调查的 9,500 名高管中有 44% 表示他们没有制定整体信息安全战略。

如果没有彻底而严格的网络安全策略,几乎不可能构建一个真正减轻您面临的威胁的工具堆栈。 在没有战略监督的情况下开发的任何工具堆栈都可能会遇到许多相互关联的问题。 它要么不够广泛,无法处理你的威胁概况的广度,要么随着威胁数量的增加而迅速过时,要么不允许你对数据进行充分监督,以满足治理和合规性法规的要求。

可以举两个例子。 过去几年中加密劫持的急剧增加让许多公司感到意外,因为他们习惯于保护数据而不是计算资源,而且在没有定期威胁审计的情况下,许多公司发现很难做出反应。 同样,过去十年中不断扩大的互联网审查规模使许多传统的远程工作解决方案几乎毫无用处,因为公司认为异地工作人员可以完全访问他们需要的所有在线资源和系统是理所当然的。

然而,这并不全是坏消息。 开发网络安全框架不仅仅是为了降低风险:它还可以提高生产力。 在 Tenable 的 2016 年调查中,95% 的已建立框架的受访者看到了好处,包括更有效的安全运营、合同合规性、成熟度,以及更有效地向业务领导层展示安全准备情况的能力。

发现您的业务风险领域是什么

一旦您建立了有效的风险管理框架,就该诚实地评估您的企业面临的最危险的网络安全漏洞,并优先考虑那些将对您的业务可持续性产生最大影响的风险。

大多数网络安全分析公司会将普通企业面临的威胁类型分为五个要素:

  • 您的系统和硬件的物理安全,包括访问控制和零信任框架。
  • 网络外围安全,包括入侵检测、缓解和端点强化。
  • 内部通信的安全。 这是一个广泛的领域,包括限制数据泄露和丢失的策略,以及对抗内部威胁的系统,这些仍然是公司面临的一些最危险的漏洞。
  • 事件响应也应该是任何网络安全战略的一个组成部分。 即使是最安全的网络安全工具堆栈也无法为您提供针对所有威胁的 100% 保护,而您如何应对成功的攻击通常是持续业务可持续性的最重要因素。
  • 最后,您的策略应包括对成功攻击的长期响应,其中包括攻击后的网络取证、调查和诉讼策略流程。

这五个要素也包含在规划网络安全战略的最全面框架中:NIST 框架。 该框架包括反映上述原则的五项原则(识别、检测、保护、响应和从威胁中恢复),并提出了一种从头到尾处理网络威胁的方法。

采取多层次的安全方法

有了网络安全策略,您就可以开始投资保护您的数据(和您的员工)免受网络威胁所需的工具。 将您的系统设想为一系列元素并遵循 NIST 框架的价值在于,这种方法强调了您的网络不是一个单一的整体。 你的系统的每一层都应该被防御,这些防御工具中的每一个都应该建立在最后一层之上。

从我们上面解释的那种分析中可以得出两个主要的教训。 一是公司应该在其网络安全中的所有五个要素上平衡其网络安全支出,因为最终您系统的安全性与最薄弱部分的安全性一样好。 其次,它指向了一种防御范式,这种范式最初由 NSA 推广,但现在已成为大多数企业网络安全战略的基本组成部分:“纵深防御”。

平衡你的堆栈

让我们依次考虑这两个想法。 根据上述标准进行风险评估的主要价值在于,它允许公司根据他们持有的数据类型以及他们的漏洞最严重的地方来平衡他们对网络安全堆栈工具的投资。

例如,对于需要保护大量知识产权的企业来说,备份系统漏洞可能是一个主要优先事项,并且需要部署更先进的网络安全工具。 这类公司还应该关注违规保护和入侵缓解,因为它们拥有有价值的(因此可能是易受攻击的)数据。

另一种类型的公司,比如专注于交付 SaaS 工具的公司,将需要优先考虑其堆栈的不同部分。 通过网络提供大部分服务的公司将需要更多地关注 DDoS 保护和服务器完整性。 在这种公司的可持续性中,正常运行时间代表了正常运行时间,而不是数据中的价值,这应该在构建网络安全工具堆栈时为购买决策提供信息。

纵深防御

“纵深防御”的概念本质上包含在网络安全“堆栈”的概念中。 在实践中,这意味着你的防御应该被组织成一系列防御层,每一层都建立在最后一层之上。 这也意味着这些防御机制使用的方法应该是多样化的。

这里的中心思想是应该向黑客提供一系列不断升级的防御和对策。 除了将您的堆栈视为在我们上面介绍的五个级别上保护您之外,这还意味着您的工具应该尽可能多地使用以下技术:

  • 端点或防病毒软件
  • 云电子邮件安全或高级威胁防护
  • 身份验证和密码安全
  • 归档
  • 生物识别
  • 以数据为中心的安全性
  • 电子邮件连续性和 DRP
  • 加密
  • 防火墙(硬件或软件)
  • 散列密码
  • 入侵检测系统 (IDS)
  • 记录和审计
  • 多因素身份验证
  • 漏洞扫描器
  • 定时访问控制
  • 互联网安全意识培训
  • 虚拟专用网络 (VPN)
  • 沙盒
  • 入侵保护系统 (IPS)

纵深防御还意味着公司不应将其防御视为将阻止所有入侵者的坚不可摧的“墙”。 相反,你应该接受,你的一些第一道防线最终会​​被攻破。

一个很好的例子是电子邮件安全。 绝大多数公司将使用 Microsoft 或 Google 提供的电子邮件。 这两个系统都带有众所周知的安全漏洞,而且众所周知,绝大多数网络攻击都是从网络钓鱼电子邮件开始的。

试图在员工收件箱级别阻止所有这些攻击基本上是不可能的,同时仍然提供员工高效工作所需的灵活性和功能。 相反,公司应该着眼于下一个安全级别:电子邮件的存储位置,对于大多数公司来说,这将是云存储。

因此,电子邮件加密和员工培训对于防止网络攻击至关重要,确保纵深防御还意味着为电子邮件部署加密云存储解决方案,并备份这些加密档案。

掌握您的网络安全

通过上述框架,您将立即认识到构建安全的网络安全堆栈可能涉及投资来自多个供应商的多种工具。 正如我们所指出的那样,这种多样性对于确保强大的网络安全防御至关重要,但它也可能导致问题。

这是因为公司倾向于将其网络安全堆栈的各个级别的安全服务分包出去,而没有仔细考虑每个供应商应该承担的责任。

因此,除了投资质量工具外,您的网络安全策略还应包括仔细映射您的哪些供应商对您系统的哪些部分负责:无论是在操作基础上,还是在涉及网络攻击后可能发生的诉讼时。

理想情况下,您与供应商的关系应被视为业务伙伴关系,而不是简单的买方-供应商关系。 优质供应商可以通过他们为了解您的需求所花费的时间和精力以及他们对这些需求的响应而得到认可。 在保护您的数据方面,受人尊敬的供应商也将能够概述其精确的运营和法律责任。

结论

在构建网络安全堆栈方面,许多企业仍然表现出“目标锁定”。 根据他们所在的行业,可能很容易只关注网络安全基础设施的一部分:例如,如果您的业务模型基于分析和数据采集,则保护数据,或者尝试使您的外展平台 100% 安全如果你从事营销工作。

正如我们上面所展示的,这种方法是有问题的,因为它没有实现“堆栈”模型的核心洞察力。 与其在你的网络周围建造所谓的坚不可摧的墙,你需要接受最终有人会闯入它的事实。 届时,他们将面临一系列不断升级的困难。

通过采取更全面的方法,您可以提高堆栈各个级别的安全性——无论您是使用营销数据还是物联网生态系统——并确保您的盔甲没有裂缝。