这两年网络攻防在业界很热,很多著名安全厂商雇佣大批人员挖漏洞,某某被攻破的话题层出不穷,确实对安全市场的发展起到了很好的助推作用。但是,笔者认为,对于大型机构来说,网络防御能力绝不是仅依靠挖漏洞打补丁就能提升的(FireEye股价持续下跌也是由于企业管理者发现很难依靠其产品提升网络安全水平),这点CISO们要有清晰的认识。以美国为例,虽然各厂商炒作APT热火朝天,但行业协会和监管机构都在不遗余力地推进全面性的、确实能提升网络防御水平的框架。例如,有效网络防御的20个关键安全控制(20 Critical Security Controls for Effective Cyber Defense)就是其中的佼佼者。但在国内尚未引起足够的重视。希望本文能让更多从业者关注这一非常有价值的框架。
多年来,许多安全标准和要求框架已在尝试应对企业系统和关键数据的风险。然而,很多努力只是变成了法规遵从报告,占用了不少安全资源,而实际上应对网络持续演变攻击的重视程度远远不够,必须加以解决。这被NSA视为一个严重问题,并于2008年开始了努力,采取了“受到攻击必须通知防御”、评估风险影响以应对现实世界威胁的方式,起草了“关键安全控制”列表。随后,很多美国和国际机构迅速加入,并且吸收了私营行业和世界各地的专家。在2013年,“关键安全控制”的管理和维护被转移到SANS的Council on CyberSecurity,一个独立的全球性的非盈利实体。
为了保护组织自身免受网络攻击,必须大力捍卫自己的网络和系统,应对各种内部和外部的威胁;还必须时刻准备检测和阻止破坏已经被渗透的网络内的后续攻击活动。两项指导原则是:“预防是理想状态,但检测是必备的”,和“受到攻击必须通知防御”。
关键安全控制 – 第5版
- 授权和未授权的设备的清单
- 授权和未经授权的软件清单
- 移动设备、笔记本电脑、工作站、和服务器硬件和软件的安全配置
- 不间断的脆弱性评估和补救措施
- 恶意软件防御
- 应用程序的安全性
- 无线访问控制
- 数据恢复能力
- 安全技能评估和适当培训
- 网络设备(如防火墙、 路由器和交换机)的安全配置
- 限制并控制使用网络端口、协议和服务
- 管理者特权的控制使用
- 边界防御
- 维护、监控、和分析审计日志
- 基于“需要知晓”的受控访问
- 账号监测和控制
- 数据保护
- 事件响应和管理
- 安全网络工程
- 渗透测试和红队对抗
关键控制的目标是,通过加强组织的防御姿态准备,连续自动地监测并保护敏感的信息技术基础设施,以避免损害、减少恢复用的投入、并降低相关成本。
今天先概要介绍,以后再仔细分析20 CSC框架中的精彩内容。
期待后续内容