信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

在今天的網(wǎng)絡(luò)安全建設(shè)中，安全運(yùn)營(yíng)團(tuán)隊(duì)無(wú)疑發(fā)揮著非常重要的作用。盡管他們并不負(fù)責(zé)研發(fā)安全工具，也不直接決定企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略，但他們始終站在網(wǎng)絡(luò)安全防護(hù)的第一線：部署防護(hù)工具、監(jiān)控系統(tǒng)運(yùn)行狀態(tài)，并在威脅發(fā)生時(shí)進(jìn)行應(yīng)急響應(yīng)。為了做好網(wǎng)絡(luò)安全運(yùn)營(yíng)工作，安全運(yùn)營(yíng)團(tuán)隊(duì)必須充分了解現(xiàn)有的工作流程中存在的問(wèn)題和不足，不斷提升安全運(yùn)營(yíng)的效率。

以下總結(jié)了企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)中常見(jiàn)的5種風(fēng)險(xiǎn)，并提供了應(yīng)對(duì)風(fēng)險(xiǎn)的優(yōu)化建議。

風(fēng)險(xiǎn)一

對(duì)MFA過(guò)度自信

過(guò)于信任多因素身份驗(yàn)證（MFA）是在企業(yè)中普遍存在的安全運(yùn)營(yíng)風(fēng)險(xiǎn)。盡管部署MFA是一種可以顯著降低攻擊風(fēng)險(xiǎn)的最佳實(shí)踐。然而，很多安全運(yùn)營(yíng)人員會(huì)盲目地認(rèn)為只要系統(tǒng)受到MFA的保護(hù)，就不會(huì)受到攻擊。但是現(xiàn)實(shí)情況是，一些高級(jí)的攻擊者經(jīng)常能夠找到繞過(guò)MFA的方法。

安全建議

部署MFA只是企業(yè)抵御安全攻擊的基礎(chǔ)性要求之一，而非應(yīng)對(duì)攻擊的“萬(wàn)全之策”。在此基礎(chǔ)上，安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該通過(guò)多種積極主動(dòng)的安全策略，減低企業(yè)的違規(guī)風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)二

忽視SaaS應(yīng)用中的風(fēng)險(xiǎn)監(jiān)控

SaaS應(yīng)用非常方便，因?yàn)闊o(wú)需經(jīng)過(guò)安全運(yùn)營(yíng)人員的安裝或授權(quán)就可以使用它們。然而，這并不意味著安全運(yùn)營(yíng)團(tuán)隊(duì)可以忽視SaaS應(yīng)用程序的安全風(fēng)險(xiǎn)。即便應(yīng)用程序完全由第三方供應(yīng)商管理，但其中的敏感數(shù)據(jù)泄露同樣會(huì)導(dǎo)致企業(yè)業(yè)務(wù)面臨風(fēng)險(xiǎn)。此外，第三方應(yīng)用程序中難以避免會(huì)存在漏洞，如果未能在黑客攻擊之前采取措施緩解它們，也可能導(dǎo)致業(yè)務(wù)內(nèi)部遭到重大破壞。

安全建議

安全運(yùn)營(yíng)團(tuán)隊(duì)必須確保將安全監(jiān)視和審計(jì)策略擴(kuò)展到SaaS平臺(tái)和其他第三方資源，而不僅僅是對(duì)企業(yè)網(wǎng)絡(luò)中的應(yīng)用程序和基礎(chǔ)設(shè)施進(jìn)行監(jiān)管。

風(fēng)險(xiǎn)三

缺乏恢復(fù)計(jì)劃

備份數(shù)據(jù)是防范勒索軟件、APT等新型攻擊的核心步驟之一。但是，很多企業(yè)缺乏在攻擊發(fā)生后快速恢復(fù)數(shù)據(jù)、系統(tǒng)的計(jì)劃，因此數(shù)據(jù)備份很難充分發(fā)揮效用。安全運(yùn)營(yíng)團(tuán)隊(duì)不能因?yàn)橛袛?shù)據(jù)備份，就認(rèn)為自己不會(huì)受到攻擊，這是一個(gè)錯(cuò)誤的認(rèn)知。

安全建議

為了避免這種風(fēng)險(xiǎn)，ITOps團(tuán)隊(duì)可以創(chuàng)建操作指南，準(zhǔn)確定義如何在數(shù)據(jù)泄露后恢復(fù)數(shù)據(jù)。對(duì)數(shù)據(jù)進(jìn)行盤(pán)點(diǎn)也很有幫助，這樣就可以知道自己擁有哪些數(shù)據(jù)資產(chǎn)，以及哪些備份與它們相關(guān)聯(lián)。這些信息可能會(huì)將數(shù)據(jù)恢復(fù)過(guò)程從原本的數(shù)周甚至數(shù)月縮短至數(shù)小時(shí)，對(duì)于大多數(shù)業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)來(lái)說(shuō)，此舉可謂意義重大。

風(fēng)險(xiǎn)四

不友好的密碼管理要求

多年來(lái)，企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)都認(rèn)為要對(duì)所有員工執(zhí)行嚴(yán)格的密碼管理要求，用戶設(shè)置的密碼要盡可能復(fù)雜，并需要頻繁地更新密碼，這樣才能確保賬戶的安全。這些傳統(tǒng)的密碼管理準(zhǔn)則都是合理的。但很多應(yīng)用實(shí)踐表明，如果用戶在管理密碼非常困難，就會(huì)出現(xiàn)很多違規(guī)的情況，比如把密碼明文寫(xiě)在便利貼上，這樣無(wú)疑與密碼管理的初衷背道而馳。

安全建議

NIST在2020年就已修訂了密碼應(yīng)用指南，鼓勵(lì)組織實(shí)施用戶友好型的密碼策略。安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該盡快評(píng)估密碼應(yīng)用的實(shí)際效果，并制定新的管理要求。

風(fēng)險(xiǎn)五

缺乏全面的安全監(jiān)控

很多安全運(yùn)營(yíng)團(tuán)隊(duì)已經(jīng)認(rèn)識(shí)到安全監(jiān)控的重要性。但是一個(gè)常見(jiàn)的錯(cuò)誤是只監(jiān)視某些關(guān)鍵的應(yīng)用和設(shè)備。例如，安全團(tuán)隊(duì)可能會(huì)監(jiān)視應(yīng)用程序和網(wǎng)絡(luò)，以發(fā)現(xiàn)可能出現(xiàn)安全風(fēng)險(xiǎn)的異常情況。但是，如果企業(yè)不同時(shí)監(jiān)控服務(wù)器、應(yīng)用交付設(shè)備、API請(qǐng)求和存儲(chǔ)資源，就難以實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的整體可見(jiàn)性。

安全建議

避免這種錯(cuò)誤的關(guān)鍵是部署全面的、全棧的安全監(jiān)控工具，然后關(guān)聯(lián)所有監(jiān)控?cái)?shù)據(jù)，以獲得盡可能多的安全風(fēng)險(xiǎn)上下文信息。