随着加密流量的监控和SAP软件及其他遗留应用程序的升级变得越来越复杂,技术盲点会给CISO及其团队带来极大的信息安全挑战。但是,还有其他一些网络安全盲点涉及一些形态多样的非技术概念,如企业风险。几位网络安全专家和CISO有针对性地探讨了一些他们所发现的隐藏风险和漏洞,以及一些针对于企业安全的持续且日益严峻的威胁。
网络安全盲点:漏洞与风险
公司应该如何处理漏洞呢?根据医疗公司Baxter International的医疗设备网络安全技术主管Pavel Slavin的观点,具体情况取决于公司所在的特定垂直行业。他说:“我们不能只是在周二下载和安装微软补丁——医疗设备必须在验证补丁真正有效之后才能安装补丁,否则它有可能会伤害病人的生命。我们需要能够调整我们响应可能造漏洞的方式,否则可能造成的危害大于好处。”
安全分析公司Niara的营销副总裁John Dasher补充说:“检测与保护技术往往作用范围有限。我不建议中断公司已经在使用的技术,但是要明确一点,在确认已知攻击和理解攻击方式之前,冒然引入其他技术很可能造成其中某个部分出现故障。新型未知攻击通常可以轻松绕过保护技术。”
UC圣塔巴巴拉分校教授及Lastline CTO Giovanni Vigna在RSA Conference 2016召开后的一次访问中警告说:“恶意软件出现,然后偷偷传播,让CISO半夜不得安宁。恶意软件是指:各种有恶意企图的东西,而且并非所有方法可以解决所有类型的恶意软件。而且,许多攻击都带有多种成分,以绕过检测,如将RTF隐藏在DOC中。”
此外,还有一些网络安全盲点隐藏在风险之中,因此要比一些技术漏洞更难量化和检测。例如,第三方商业伙伴获得了IT环境的哪些访问权限?
在一次RSA小组会议上探讨CISO及其所真实经验教训时,密歇根州Blue Cross Blue Shield的副总裁和CISO Tom Baltis建议说:“要引入基于风险的项目,同时还要小心对待使用自动化的方式。你需要工具来建立与第三方的互信关系——商业关系在发展进步,信任关系也要随之进步。”
Virginia Tech的CISO Randy Marchany给出了一些关于如何辨别和处理新软件潜在风险的建议。他说:“我们有一个采购调查表,如果一个部门想要采购软件,那么供应商必须先填写这个调查表。如果某一个软件是业务过程负责人要求使用的,那么我不会对他们说不能使用这个软件,但是我们需要引入额外的控制措施来堵住这个漏洞。”
此外,Marchany指出,CISO一定要关注于最重要的部分——数据。例如,Marchany向CIO报告,后者再向总裁报告,并且每年向董事会汇报3~4次整体状态;但是显然这仍然不够。他指出,无论推荐的频率有多高,“董事会仍然希望了解我们成功阻挡了哪些攻击和最近漏过哪些攻击。我可能会告诉他们,确实有一些攻击进来了,但是它们并没有偷到仍然数据。在报告成功的同时也一定要报告问题。”
在RSA大会关于使用国家机构标准与技术(National Institute of Standards and Technology, NIST)的隐私风险管理框架(Privacy Risk Management Framework)的小组会议上,美国卫生与人类服务部的隐私事件管理及响应主管Logan O'Shaughnessy指出,有些组织“提出这样的问题……需要收集这些数据以满足业务需求吗?假设实际上并不需要存储用户信息。如果收集了这些数据,即使经过批准,只要你存储了数据,就有隐私风险。”
O'Shaughnessy补充说:“我们的意外响应团队目前使用一个集中库来管理安全和隐私事件,以帮助处理这些事件。然而,处理完一个安全事件,并不意味着与之相关的隐私事件也处理完毕——它还可能要求额外向民事权利局(Office for Civil Rights)报告。NIST是促成两个团队展开讨论的中间跳板,从而将安全和隐私流程连接在一起。”
Dasher指出,始终将隐私风险放在第一位,有利于帮助组织处理一个当今世界面临的更大网络安全盲点。Dasher说:“持续更新用户、主机、IP、应用程序等相关风险配置,可以使安全团队能够对工作进行优先级划分,然后在问题完全暴发之前发现问题。最重要的是要有一些能够可靠提供全面可见性的系统。”
Vigna指出,一些特殊部门和业务线特别容易出现数据漏洞,因此需要通过风险评估来发现和解决这些问题。
他说:“工资、税务填报人和法律部门可能成为公司的薄弱环节。这些服务通常都是外包的,保护措施不强,而且有可能给攻击者提供非常完整的个人信息。”
小结
对于现在想知道自己工作还缺少什么的CISO而言,专家建议要关注这样一个现实:CEO和主管团队希望了解公司当前状态与主流标准(如NIST或ISO)的差距,以及公司的安全成熟度在什么水平上。此外,他们还希望知道CISO已经制定了应对任何未知安全问题的计划。
当公司开始辨别和处理这个问题时,大多数时候他们都会发现除了核心安全日志,其他方面还缺少全面的可见性。Dasher说:“掌握覆盖所有相关安全数据源的联动状态,再加上一层正确的行为分析技术,才能在危急关头绝处逢生。”
由于现实环境就得越来越复杂、分散和移动化,因此CISO不可能只通过内部手段同来管理所有网络安全问题。企业很可能需要将一部分工作外包给一个专业信息安全公司。
云安全供应商Sumo Logic的安全与规范产品管理主管George Gerchow说:“不要牺牲安全性来谋求方便性。”
相反,CISO及其信息安全团队应该关于利用这些技巧和寻求外部支持手段来消除网络安全盲点。
