安全思维转变:从基于威胁到基于风险
黑帽子手握主动权,时常居于优势地位。他们可以决定攻击企业的时间、地点和方式,耐心选择自己想要的出手时机。
至于网络安全防御人员,则总是在打逆风球。云计算、远程办公和软件即服务(SaaS)应用的增长持续扩大攻击面,给恶意黑客带来了更多攻击机会。恶意黑客只会随着网络复杂度的增加而更加来无影去无踪,闪电战技能愈加炉火纯青。
威胁面的扩大要求安全团队转变思想,从基于威胁的思维转到基于风险的思维上来。这是安全实施方法上的一个重大转变——从依托合规的结构转向旨在降低总体风险的结构。
技术主管如果转而询问自己,“最坏情况下会怎样?”那这个问题的答案就能帮助导向基于风险的方法,因为这个答案凸显了最坏的情况,突出了恢复正常所需要的代价。
方法转变进行时
很多大型企业其实已经转向了基于风险的方法。基于威胁的方法往往依赖照着任务清单一项项打钩的方式来满足特定行业要求,但忽视了安全的关键部分:减少风险。
正如安全专业人员常说的,合规本身不等同于安全。合规为企业提供了基准和目标,减轻了事件发生时的责任,但往往将安全作为事后考量因素。
基于风险的安全方法则不然,这种方法站在整个公司的角度评估公司重要资产的位置,系统性识别公司面临的威胁并划分优先级。基于风险的思维并不孤立考量各个安全控制措施,而是更清晰地展现漏洞的位置和被攻破的可能性。
基于威胁的方法旨在缓解活跃潜在威胁,可能是已经侵入系统的某个黑客或某款恶意软件。威胁一旦侵入,就可能造成破坏,而威胁缓解策略旨在迅速识别这些威胁并果断采取行动。
当前基于威胁的系统中,业务流程和安全需求往往各自为战。而如果采用基于风险的方法,技术主管可以确定资产的优先级、分配资源,创建系统性方法来缓解高风险领域。技术和业务主管应该通力合作,共同确定安全符合匹配所需的业务目标。
基于风险方法的最佳实践
企业必须考虑很多因素才能转向更加基于风险的结构。基于风险的方法需要执行企业风险评估,识别并实现所需的控制措施等等。
技术主管可以执行的一些主要最佳实践如下:
保持开放心态
从很多方面看,转向基于风险的方法并非毫无预兆。随着云技术普及和远程办公的兴起,技术企业继续快速转型,以各种新方式拓展网络。转变思维可以让你从更长远的角度看清威胁态势,从而调整自己的安全方法,跟上形势。
安全主管肩负保护企业安全的职责,四平八稳地遵循旧例可不行。对手一直在发展进化,我们也必须不断改进。技术主管可不能害怕从旧思想转向新方法和新思维。
如今,企业需要保护的技术资产越来越多。最好采用基于风险的方法,重视利用各种工具获得可见性、自动化和对自家企业运营的真正洞察。使用身份验证工具加强身份安全,并通过定期培训和模拟磨砺安全团队。
技术领域变化不停,紧跟变化是最基本的要求。
参考阅读
轻量级威胁建模(LTM)助力快速安全开发
基于AKK&CK的威胁模型看风险管理
[调研]远程办公成常态 内部威胁风险巨大
[调研]错误配置和漏洞成云安全最大风险