了解如何為您的團隊構建有效的安全堆棧

已發表: 2020-05-05

構建技術堆棧是 IT 管理員、網絡安全專業人員和企業主面臨的最困難的任務之一。

這是因為構建一套生產力和網絡安全工具需要一套謹慎的平衡措施。

原則上,您部署的網絡安全工具越多,您的系統就越安全,但僅限於某個特定點:如果您的堆棧過於復雜,則可能會變得難以管理,從而引入漏洞,並增加您的技術系統的前期投資。

Aberdeen and Cyber​​ adAPT 的一份報告發現,典型的六層企業技術棧——包括網絡、存儲、物理服務器以及虛擬化、管理和應用層——需要 CISO 應對不少於 16 億個版本的336 種產品的技術安裝,由 57 家供應商提供。

大多數企業環境日益動態的性質加劇了這個問題。 遠程工作軟件解決方案的興起、對管理虛擬團隊的新興趣以及過去十年 VPN 使用量的逐漸增加表明,許多公司現在正在尋求開發可以在異地有效部署的網絡安全堆棧,這帶來了額外的複雜性。

在本文中,我們將回到基礎。 從根本上講,構建有效的網絡安全工具堆棧取決於許多關鍵原則。 在構建和開發自己的堆棧時牢記這些,您將能夠達到簡單性和功能性的平衡,這是出色工具堆棧的標誌。

如何正確構建安全堆棧

構建網絡安全工具堆棧的第一步也是最重要的一步是製定網絡安全和信息治理戰略。 這聽起來可能很明顯,但許多組織仍然忽視了這一步驟:普華永道 2018 年全球信息安全狀況調查中接受調查的 9,500 名高管中有 44% 表示他們沒有製定整體信息安全戰略。

如果沒有徹底而嚴格的網絡安全策略,幾乎不可能構建一個真正減輕您面臨的威脅的工具堆棧。 在沒有戰略監督的情況下開發的任何工具堆棧都可能會遇到許多相互關聯的問題。 它要么不夠廣泛,無法處理你的威脅概況的廣度,要么隨著威脅數量的增加而迅速過時,要么不允許你對數據進行充分監督,以滿足治理和合規性法規的要求。

可以舉兩個例子。 過去幾年中加密劫持的急劇增加讓許多公司感到意外,因為他們習慣於保護數據而不是計算資源,而且在沒有定期威脅審計的情況下,許多公司發現很難做出反應。 同樣,過去十年中不斷擴大的互聯網審查規模使許多傳統的遠程工作解決方案幾乎毫無用處,因為公司認為異地工作人員可以完全訪問他們需要的所有在線資源和系統是理所當然的。

然而,這並不全是壞消息。 開發網絡安全框架不僅僅是為了降低風險:它還可以提高生產力。 在 Tenable 的 2016 年調查中,95% 的已建立框架的受訪者看到了好處,包括更有效的安全運營、合同合規性、成熟度,以及更有效地向業務領導層展示安全準備情況的能力。

發現您的業務風險領域是什麼

一旦您建立了有效的風險管理框架,就該誠實地評估您的企業面臨的最危險的網絡安全漏洞,並優先考慮那些將對您的業務可持續性產生最大影響的風險。

大多數網絡安全分析公司會將普通企業面臨的威脅類型分為五個要素:

  • 您的系統和硬件的物理安全,包括訪問控制和零信任框架。
  • 網絡外圍安全,包括入侵檢測、緩解和端點強化。
  • 內部通信的安全。 這是一個廣泛的領域,包括限制數據洩露和丟失的策略,以及對抗內部威脅的系統,這些仍然是公司面臨的一些最危險的漏洞。
  • 事件響應也應該是任何網絡安全戰略的一個組成部分。 即使是最安全的網絡安全工具堆棧也無法為您提供針對所有威脅的 100% 保護,而您如何應對成功的攻擊通常是持續業務可持續性的最重要因素。
  • 最後,您的策略應包括對成功攻擊的長期響應,其中包括攻擊後的網絡取證、調查和訴訟策略流程。

這五個要素也包含在規劃網絡安全戰略的最全面框架中:NIST 框架。 該框架包括反映上述原則的五項原則(識別、檢測、保護、響應和從威脅中恢復),並提出了一種從頭到尾處理網絡威脅的方法。

採取多層次的安全方法

有了網絡安全策略,您就可以開始投資保護您的數據(和您的員工)免受網絡威脅所需的工具。 將您的系統設想為一系列元素並遵循 NIST 框架的價值在於,這種方法強調了您的網絡不是一個單一的整體。 你的系統的每一層都應該被防禦,這些防禦工具中的每一個都應該建立在最後一層之上。

從我們上面解釋的那種分析中可以得出兩個主要的教訓。 一是公司應該在其網絡安全中的所有五個要素上平衡其網絡安全支出,因為最終您系統的安全性與最薄弱部分的安全性一樣好。 其次,它指向了一種防禦範式,這種範式最初由 NSA 推廣,但現在已成為大多數企業網絡安全戰略的基本組成部分:“縱深防禦”。

平衡你的堆棧

讓我們依次考慮這兩個想法。 根據上述標准進行風險評估的主要價值在於,它允許公司根據他們持有的數據類型以及他們的漏洞最嚴重的地方來平衡他們對網絡安全堆棧工具的投資。

例如,對於需要保護大量知識產權的企業來說,備份系統漏洞可能是一個主要優先事項,並且需要部署更先進的網絡安全工具。 這類公司還應該關注違規保護和入侵緩解,因為它們擁有有價值的(因此可能是易受攻擊的)數據。

另一種類型的公司,比如專注於交付 SaaS 工具的公司,將需要優先考慮其堆棧的不同部分。 通過網絡提供大部分服務的公司將需要更多地關注 DDoS 保護和服務器完整性。 在這種公司的可持續性中,正常運行時間代表了正常運行時間,而不是數據中的價值,這應該在構建網絡安全工具堆棧時為購買決策提供信息。

縱深防禦

“縱深防禦”的概念本質上包含在網絡安全“堆棧”的概念中。 在實踐中,這意味著你的防禦應該被組織成一系列防禦層,每一層都建立在最後一層之上。 這也意味著這些防禦機制使用的方法應該是多樣化的。

這裡的中心思想是應該向黑客提供一系列不斷升級的防禦和對策。 除了將您的堆棧視為在我們上面介紹的五個級別上保護您之外,這還意味著您的工具應該盡可能多地使用以下技術:

  • 端點或防病毒軟件
  • 雲電子郵件安全或高級威脅防護
  • 身份驗證和密碼安全
  • 歸檔
  • 生物識別
  • 以數據為中心的安全性
  • 電子郵件連續性和 DRP
  • 加密
  • 防火牆(硬件或軟件)
  • 散列密碼
  • 入侵檢測系統 (IDS)
  • 記錄和審計
  • 多因素身份驗證
  • 漏洞掃描器
  • 定時訪問控制
  • 互聯網安全意識培訓
  • 虛擬專用網絡 (VPN)
  • 沙盒
  • 入侵保護系統 (IPS)

縱深防禦還意味著公司不應將其防禦視為將阻止所有入侵者的堅不可摧的“牆”。 相反,你應該接受,你的一些第一道防線最終會被攻破。

一個很好的例子是電子郵件安全。 絕大多數公司將使用 Microsoft 或 Google 提供的電子郵件。 這兩個系統都帶有眾所周知的安全漏洞,而且眾所周知,絕大多數網絡攻擊都是從網絡釣魚電子郵件開始的。

試圖在員工收件箱級別阻止所有這些攻擊基本上是不可能的,同時仍然提供員工高效工作所需的靈活性和功能。 相反,公司應該著眼於下一個安全級別:電子郵件的存儲位置,對於大多數公司來說,這將是雲存儲。

因此,電子郵件加密和員工培訓對於防止網絡攻擊至關重要,確保縱深防禦還意味著為電子郵件部署加密雲存儲解決方案,並備份這些加密檔案。

掌握您的網絡安全

通過上述框架,您將立即認識到構建安全的網絡安全堆棧可能涉及投資來自多個供應商的多種工具。 正如我們所指出的那樣,這種多樣性對於確保強大的網絡安全防禦至關重要,但它也可能導致問題。

這是因為公司傾向於將其網絡安全堆棧的各個級別的安全服務分包出去,而沒有仔細考慮每個供應商應該承擔的責任。

因此,除了投資質量工具外,您的網絡安全策略還應包括仔細映射您的哪些供應商對您系統的哪些部分負責:無論是在操作基礎上,還是在涉及網絡攻擊後可能發生的訴訟時。

理想情況下,您與供應商的關係應被視為業務夥伴關係,而不是簡單的買方-供應商關係。 優質供應商可以通過他們為了解您的需求所花費的時間和精力以及他們對這些需求的響應而得到認可。 在保護您的數據方面,受人尊敬的供應商也將能夠概述其精確的運營和法律責任。

結論

在構建網絡安全堆棧方面,許多企業仍然表現出“目標鎖定”。 根據他們所在的行業,可能很容易只關注網絡安全基礎設施的一部分:例如,如果您的業務模型基於分析和數據採集,則保護數據,或者嘗試使您的外展平台 100% 安全如果你從事營銷工作。

正如我們上面所展示的,這種方法是有問題的,因為它沒有實現“堆棧”模型的核心洞察力。 與其在你的網絡周圍建造所謂的堅不可摧的牆,你需要接受最終有人會闖入它的事實。 屆時,他們將面臨一系列不斷升級的困難。

通過採取更全面的方法,您可以提高堆棧各個級別的安全性——無論您是使用營銷數據還是物聯網生態系統——並確保您的盔甲沒有裂縫。