北京2020年7月17日 /美通社/ -- 隨著MicroSolved更新了80/20網(wǎng)絡(luò)安全法則,近日,北京天地和興科技有限公司分析并研究了網(wǎng)絡(luò)安全法則定律,從而幫助企業(yè)更好地應(yīng)用網(wǎng)絡(luò)安全控制。
早年間,美國(guó)聯(lián)邦政府花費(fèi)了巨大精力,在各部門(mén)不同網(wǎng)絡(luò)安全專(zhuān)家間達(dá)成共識(shí),以確定現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境中有效的網(wǎng)絡(luò)安全控制,形成了20項(xiàng)最重要的持續(xù)網(wǎng)絡(luò)安全執(zhí)法控制措施,即共同審計(jì)指南。與此同時(shí),美國(guó)聯(lián)邦政府也鼓勵(lì)網(wǎng)絡(luò)安全專(zhuān)業(yè)人員對(duì)該指南進(jìn)行改編及思考。2009年,美國(guó)網(wǎng)絡(luò)安全公司MicroSolved發(fā)布了其80/20網(wǎng)絡(luò)安全法則,旨在為中小型組織提供最實(shí)惠的安全控制項(xiàng)目,只需花費(fèi)通常組織20%的開(kāi)銷(xiāo),就能獲得80%的安全效果。隨著網(wǎng)絡(luò)安全態(tài)勢(shì)的快速變化,原有13條安全法則難以適應(yīng)新的形勢(shì)發(fā)展。對(duì)此,MicroSolved更新了其80/20法則,該最新版本的法則包含:維護(hù)完整的當(dāng)前網(wǎng)絡(luò)資產(chǎn)清單、實(shí)施全面的配置控制程序、實(shí)施全面的安全維護(hù)計(jì)劃、實(shí)施全面的變更控制程序、實(shí)施基本的內(nèi)部威脅建模和風(fēng)險(xiǎn)評(píng)估、持續(xù)安全評(píng)估、實(shí)施日志記錄和監(jiān)視、實(shí)施網(wǎng)絡(luò)分段、執(zhí)行和維護(hù)書(shū)面的網(wǎng)絡(luò)安全計(jì)劃、實(shí)施安全意識(shí)和培訓(xùn)計(jì)劃、招聘、培訓(xùn)和實(shí)施事件響應(yīng)團(tuán)隊(duì)、在網(wǎng)絡(luò)上盡可能使用MFA、部署合理的加密技術(shù)。
80/20法則又稱(chēng)帕累托法則、二八定律,由意大利經(jīng)濟(jì)學(xué)家維爾弗雷多·帕累托在19世紀(jì)末20世紀(jì)初發(fā)現(xiàn)的。他認(rèn)為,在任何一組東西中,最重要的只占其中一小部分,約20%,其余80%盡管是多數(shù),卻是次要的,因此又稱(chēng)二八定律,被廣泛應(yīng)用于社會(huì)學(xué)及企業(yè)管理學(xué)等。該法則認(rèn)為,原因和結(jié)果、投入和產(chǎn)出、努力和報(bào)酬之間存在著無(wú)法解釋的不平衡,如80%的結(jié)論源自20%的起因、80%的產(chǎn)出源自20%的投入、80%的收獲源自20%的努力。該法則說(shuō)明少量的原因、投入和努力會(huì)有大量的收獲、產(chǎn)出或回報(bào),只有幾件事情是重要的,大部分都微不足道。該法則的主要用途是去發(fā)現(xiàn)該80/20關(guān)系的關(guān)鍵原因,如20%的投入就有80%的產(chǎn)出,并在取得最佳業(yè)績(jī)的同時(shí)減少資源損耗。當(dāng)將該法則應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域時(shí),又會(huì)有什么結(jié)果呢?
2009年,由于人們認(rèn)為《聯(lián)邦網(wǎng)絡(luò)安全管理法》(FISMA)過(guò)于繁瑣,且無(wú)法有效保護(hù)私人信息的機(jī)密性、完整性和可用性,為此美國(guó)聯(lián)邦政府做出了巨大的努力,在來(lái)自各個(gè)部門(mén)的不同網(wǎng)絡(luò)安全專(zhuān)家組之間達(dá)成共識(shí),以確定在現(xiàn)代計(jì)算和網(wǎng)絡(luò)環(huán)境中哪些網(wǎng)絡(luò)安全控制最有效。這項(xiàng)工作的成果是,發(fā)布了20個(gè)最重要的持續(xù)網(wǎng)絡(luò)安全執(zhí)法控制措施:共識(shí)審計(jì)指南(Consensus Audit Guidelines)。同時(shí),還激發(fā)了組織和網(wǎng)絡(luò)安全專(zhuān)業(yè)人員對(duì)本指南的可能變化和改編的思考,其中之一,就是由美國(guó)網(wǎng)絡(luò)安全公司MicroSolved發(fā)布的80/20網(wǎng)絡(luò)安全法則(2009)。
雖然該法則與共識(shí)審計(jì)指南非常相似,但該80/20法則的重點(diǎn)是建立一組安全控制項(xiàng)目,為沒(méi)有聯(lián)邦政府或其他大型組織資源的中小型組織提供最“實(shí)惠”的安全控制項(xiàng)目。該法則的靈感來(lái)自于帕累托原理,當(dāng)應(yīng)用于網(wǎng)絡(luò)安全控制時(shí),意味著一個(gè)組織可以?xún)H花費(fèi)通常消耗的20%的資源,就可以實(shí)現(xiàn)80%的安全結(jié)果。
該2009版本的80/20法則包含以下13個(gè)安全項(xiàng)目:資產(chǎn)、數(shù)據(jù)流和信任關(guān)系映射;進(jìn)行基本的風(fēng)險(xiǎn)評(píng)估和威脅建模;對(duì)所有網(wǎng)絡(luò)攻擊面的持續(xù)評(píng)估;最小化攻擊面;實(shí)施出口過(guò)濾;實(shí)施隔離計(jì)算;創(chuàng)建異常檢測(cè)功能;定義正式的策略和過(guò)程;進(jìn)行安全意識(shí)計(jì)劃;加強(qiáng)資產(chǎn)和新系統(tǒng);招聘、培訓(xùn)和實(shí)施事件響應(yīng)團(tuán)隊(duì);識(shí)別安全技能差距并培訓(xùn)員工;部署合理的密碼學(xué)。
然而自2009年以來(lái),網(wǎng)絡(luò)安全形勢(shì)發(fā)生了變化,情況有所改變。因此,MicroSolved更新了其80/20法則,以更好地符合當(dāng)前環(huán)境,盡管新版本中許多安全項(xiàng)目仍保持相同。MicroSolved 80/20網(wǎng)絡(luò)安全法則(2019)的安全項(xiàng)目列表如下:
1、維護(hù)完整的當(dāng)前網(wǎng)絡(luò)資產(chǎn)清單
與以前的80/20法則版本中的第一個(gè)項(xiàng)目幾乎相同。研究人員認(rèn)為清單控制是20大建議中的第一控制措施。完整的清單不僅可以幫助避免遺留未維護(hù)的遺留系統(tǒng)的危險(xiǎn),更重要的是,它還可以實(shí)現(xiàn)其他重要的安全項(xiàng)目,例如安全維護(hù)、配置控制、訪(fǎng)問(wèn)控制等。
2、實(shí)施全面的配置控制程序
為了適當(dāng)?shù)卦鰪?qiáng)網(wǎng)絡(luò)抵抗攻擊能力,必須安全地配置所有網(wǎng)絡(luò)資產(chǎn)(軟件/固件應(yīng)用程序、操作系統(tǒng)和設(shè)備)。這應(yīng)該根據(jù)通用的基線(xiàn)配置策略來(lái)完成。為了確保正確配置所有網(wǎng)絡(luò)資產(chǎn),需要完整且最新的清單。
3、實(shí)施全面的安全維護(hù)計(jì)劃
安全維護(hù)需要監(jiān)視安全和供應(yīng)商站點(diǎn)是否存在影響網(wǎng)絡(luò)資產(chǎn)的漏洞,然后確保必要時(shí)對(duì)其進(jìn)行修補(bǔ)、更新或替換。有必要將此過(guò)程與庫(kù)存控制聯(lián)系起來(lái),以確保包括所有資產(chǎn)。
4、實(shí)施全面的變更控制程序
安全漏洞通常是由于對(duì)網(wǎng)絡(luò)安全設(shè)置未進(jìn)行維護(hù)或進(jìn)行考慮不周的更改而引起的。例如,將與內(nèi)部網(wǎng)絡(luò)的直接連接授予第三方,以允許進(jìn)行必要的工作,但是在完成工作后不會(huì)將其刪除。攻擊者經(jīng)常使用這種攻擊載體來(lái)獲得專(zhuān)用網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限。變更應(yīng)完全記錄在案,并應(yīng)計(jì)劃還原到以前的狀態(tài),以防出現(xiàn)無(wú)法預(yù)料的問(wèn)題。如前所述,變更控制過(guò)程應(yīng)與庫(kù)存控制、配置控制和安全維護(hù)聯(lián)系相聯(lián)系。人員和流程之間的這種通信對(duì)于防止可能導(dǎo)致安全錯(cuò)誤的混亂是必要的。
5、實(shí)施基本的內(nèi)部威脅建模和風(fēng)險(xiǎn)評(píng)估
基本的威脅建模和風(fēng)險(xiǎn)評(píng)估不必是一個(gè)復(fù)雜或耗時(shí)的過(guò)程。在對(duì)網(wǎng)絡(luò)進(jìn)行重大更改或添加時(shí),只需考慮攻擊者可能會(huì)對(duì)這些更改(可能的漏洞)進(jìn)行不利操作(威脅)的方式,以及這種操作可能對(duì)業(yè)務(wù)造成的影響(風(fēng)險(xiǎn))。在具有代表性的技術(shù)、安全、法律和管理人員中使用此簡(jiǎn)單過(guò)程將提高風(fēng)險(xiǎn)確定的準(zhǔn)確性。
6、持續(xù)安全評(píng)估
外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的漏洞評(píng)估可以由內(nèi)部或第三方服務(wù)提供商執(zhí)行。建議使用這些評(píng)估,因?yàn)樗鼈兛赡軙?huì)暴露由于錯(cuò)誤或惡意意圖而潛入網(wǎng)絡(luò)的漏洞。自定義編碼的軟件應(yīng)用程序的安全性評(píng)估可能會(huì)使漏洞暴露于跨站點(diǎn)腳本之類(lèi)的情況。其他可能使組織受益的安全評(píng)估包括滲透測(cè)試和網(wǎng)絡(luò)工程測(cè)試,例如網(wǎng)絡(luò)釣魚(yú)測(cè)試。
7、實(shí)施日志記錄和監(jiān)視
實(shí)施此項(xiàng)目需要打開(kāi)網(wǎng)絡(luò)上所有支持該功能的系統(tǒng)的日志記錄。建議使用工具匯總?cè)罩竞瓦M(jìn)行基本日志分析。記錄和監(jiān)視應(yīng)連續(xù)進(jìn)行。應(yīng)指派有能力的員工來(lái)監(jiān)視、調(diào)查和增強(qiáng)自動(dòng)化和第三方安全監(jiān)視結(jié)果。
8、實(shí)施網(wǎng)絡(luò)分段
實(shí)施此項(xiàng)目需要在邏輯上或物理上對(duì)網(wǎng)絡(luò)進(jìn)行分段。正確的網(wǎng)絡(luò)分段可以幫助阻止獲得非法內(nèi)部訪(fǎng)問(wèn)權(quán)限的攻擊者在網(wǎng)絡(luò)上橫向移動(dòng),并將其特權(quán)提升到域管理員級(jí)別。至少應(yīng)將“用戶(hù)空間”與“服務(wù)器空間”分開(kāi)。
9、執(zhí)行和維護(hù)書(shū)面的網(wǎng)絡(luò)安全計(jì)劃
書(shū)面的網(wǎng)絡(luò)安全策略和程序?qū)τ谌魏斡行У木W(wǎng)絡(luò)安全計(jì)劃都是必需的。沒(méi)有他們,組織人員將永遠(yuǎn)無(wú)法確保他們正確地協(xié)調(diào)自己的工作,而且只有在將它們無(wú)縫集成在一起的情況下,網(wǎng)絡(luò)安全計(jì)劃才真正有效。此外,書(shū)面安全和操作程序?qū)τ跇I(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)至關(guān)重要。
10、實(shí)施安全意識(shí)和培訓(xùn)計(jì)劃
僅擁有良好的書(shū)面政策和程序文件還不夠。組織人員還必須了解這些政策及其執(zhí)行這些政策的責(zé)任。此外,組織人員可以是安全資產(chǎn)也可以是安全缺陷。培訓(xùn)和意識(shí)是確保它們成為安全資產(chǎn)的關(guān)鍵。除安全培訓(xùn)外,還應(yīng)向人員提供安全提醒和更新。另外,應(yīng)該為從事高風(fēng)險(xiǎn)工作的人員(例如網(wǎng)絡(luò)管理,服務(wù)臺(tái)等)提供安全技能差距培訓(xùn)。
11、招聘、培訓(xùn)和實(shí)施事件響應(yīng)團(tuán)隊(duì)
實(shí)施此控制措施需要制定事件響應(yīng)策略和方法,招募事件響應(yīng)團(tuán)隊(duì),并練習(xí)執(zhí)行任務(wù)所需的技能。沒(méi)有完美的安全。任何組織都可能遭受安全事件。事件響應(yīng)程序可以極大地減少安全事件的負(fù)面影響,例如數(shù)據(jù)泄露對(duì)組織及其客戶(hù)的影響。
12、在網(wǎng)絡(luò)上盡可能使用MFA
使用有效的多因素身份驗(yàn)證(MFA)來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò)資產(chǎn)可以解決許多安全隱患。實(shí)施該項(xiàng)目確實(shí)需要花費(fèi)大量的時(shí)間,因?yàn)橛脩?hù)和客戶(hù)總是會(huì)認(rèn)為獲得訪(fǎng)問(wèn)權(quán)會(huì)帶來(lái)額外麻煩。至少,應(yīng)該對(duì)系統(tǒng)進(jìn)行高風(fēng)險(xiǎn)訪(fǎng)問(wèn)使用MFA,例如管理、遠(yuǎn)程或無(wú)線(xiàn)訪(fǎng)問(wèn)。
13、部署合理的加密技術(shù)
加密數(shù)據(jù)以進(jìn)行傳輸和存儲(chǔ)可最大程度地減少使用敏感或私有信息所固有的風(fēng)險(xiǎn)。這個(gè)項(xiàng)目并不容易全面實(shí)施,但是如果正確完成,可以幫助挫敗那些成功訪(fǎng)問(wèn)私有系統(tǒng)的攻擊者。密碼學(xué)的警告是,隨著項(xiàng)目的成熟,還必須實(shí)施安全密鑰管理。如果沒(méi)有正確的制作、注銷(xiāo)和保護(hù)這些密鑰,則加密實(shí)際上可能成為一種負(fù)擔(dān)而不是資產(chǎn)。
關(guān)于MicroSolved
MicroSolved是一家專(zhuān)注于提供最有效、合理和全面的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的小型公司。該公司總部位于美國(guó),成立超過(guò)25年來(lái),幫助客戶(hù)保護(hù)自己的數(shù)字資產(chǎn)并安全地開(kāi)展業(yè)務(wù)。該公司在保護(hù)知識(shí)產(chǎn)權(quán)、金融系統(tǒng)、零售環(huán)境和大小企業(yè)方面具有世界一流的經(jīng)驗(yàn)。MicroSolved的企業(yè)經(jīng)驗(yàn)從小型關(guān)鍵基礎(chǔ)設(shè)施組織到財(cái)富500強(qiáng)企業(yè),其重點(diǎn)是制造業(yè)、工業(yè)控制、高科技、快餐銷(xiāo)售以及負(fù)責(zé)保護(hù)一些最重要研究的科學(xué)/智庫(kù)團(tuán)隊(duì)。