信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

網(wǎng)絡(luò)攻擊者正變得越來越聰明，他們的攻擊行為也越來越隱蔽。在網(wǎng)絡(luò)攻防的博弈中，擊敗攻擊者的唯一有效方法，就是像攻擊者一樣思考，將安全防護(hù)措施領(lǐng)先于潛在的網(wǎng)絡(luò)攻擊行為和漏洞利用，從被動事件響應(yīng)轉(zhuǎn)化為主動威脅防御。在此背景下，企業(yè)組織構(gòu)建全面的行動安全（Operational Security，OpSec）防護(hù)計(jì)劃至關(guān)重要。

什么是OPSEC

OpSec是一種研究潛在攻擊行為的主動安全防護(hù)技術(shù)，最初是為軍事組織開發(fā)的。根據(jù)美國國家安全局（NSA）解密的一份文件“美國OpSec計(jì)劃的起源與發(fā)展”披露：在越南戰(zhàn)爭中，美國開始注重于從敵方角度審視其自身的安全態(tài)勢，判斷敵方可能的進(jìn)攻意圖和能力，并發(fā)現(xiàn)敵方是如何獲取美軍的計(jì)劃和情報信息，以此來制定最終的反制策略。這種“讓敵人無法了解我們的優(yōu)勢和弱點(diǎn)”的能力被稱為行動安全即OpSec。

2023年1月，美國國家情報局（ODNI）和國家反情報與安全中心（NCSC）首次對“OpSec”進(jìn)行了定義：OpSec是一個系統(tǒng)化的過程，旨在將威脅防護(hù)措施前置，更早識別和保護(hù)敏感和關(guān)鍵信息，并消除對手獲取這些信息的能力。由此可以看出，不論是在戰(zhàn)時還是平時，掌握“信息優(yōu)勢”都是決定博弈成敗的關(guān)鍵所在。借助全面的OpSec安全計(jì)劃，企業(yè)安全運(yùn)營團(tuán)隊(duì)將能夠在攻擊者實(shí)際利用系統(tǒng)錯誤或漏洞之前識別并修復(fù)它們，從而掌握主動。

根據(jù)ODNI和NCSC給出的定義，OpSec不是有明確規(guī)范的行為準(zhǔn)則，而是一個實(shí)現(xiàn)主動安全防護(hù)能力的流程。遵循這個流程可以讓企業(yè)獲得更大的安全性。一個全面的OpSec計(jì)劃需要包含以下關(guān)鍵要素：

識別敏感數(shù)據(jù)和信息企業(yè)首先要明確哪些是需要保護(hù)的敏感信息，他們存儲在哪里，在哪些服務(wù)器上有違規(guī)存在的敏感信息。通常企業(yè)的客戶信息、知識產(chǎn)權(quán)、員工隱私數(shù)據(jù)、財(cái)務(wù)報表和市場研究數(shù)據(jù)都是需要嚴(yán)格保護(hù)的敏感信息。

識別潛在的攻擊媒介識別潛在的攻擊媒介屬于威脅情報的范疇，主要是根據(jù)要保護(hù)的數(shù)據(jù)信息，確定潛在的威脅形式。在防止關(guān)鍵信息數(shù)據(jù)泄露之前，企業(yè)應(yīng)該知道目前的薄弱環(huán)節(jié)在哪里，比如：哪些類型的數(shù)據(jù)對攻擊者有吸引力？是否有第三方可以進(jìn)入組織系統(tǒng)？

審查安全弱點(diǎn)和漏洞企業(yè)在掌握自己可能面臨的攻擊面之后，就需要針對每個攻擊風(fēng)險級別采取合適的保護(hù)措施準(zhǔn)備，對存在的問題進(jìn)行修復(fù)。企業(yè)需要對現(xiàn)有的安全基礎(chǔ)設(shè)施進(jìn)行客觀評估，并確定各安全工具是否可以正常發(fā)揮作用。

評估漏洞的風(fēng)險級別當(dāng)企業(yè)發(fā)現(xiàn)已存在的安全風(fēng)險和漏洞后，接下來就是對其可能產(chǎn)生的影響和后果進(jìn)行評估，并說明這些漏洞被利用的后果。哪些漏洞的風(fēng)險最高？發(fā)生入侵的可能性有多大？攻擊會造成多大損失？風(fēng)險必須根據(jù)其嚴(yán)重程度和影響進(jìn)行排序。

實(shí)施緩解和修復(fù)計(jì)劃實(shí)施OpSec的根本目的，是為了降低企業(yè)的安全風(fēng)險。因此在發(fā)現(xiàn)潛在的風(fēng)險漏洞并評估優(yōu)先級后，就要采取對應(yīng)的修復(fù)措施。需要特別說明的是，風(fēng)險是在不斷的變化中，并沒有100%的安全，安全運(yùn)營團(tuán)隊(duì)需要在安全投入和防護(hù)效果之間實(shí)現(xiàn)動態(tài)的平衡。

OpSec計(jì)劃的最佳實(shí)踐

OpSec計(jì)劃旨在建立防御潛在威脅的第一道防線，因此需要企業(yè)多個部門的密切配合才能發(fā)揮最大的作用。如果企業(yè)準(zhǔn)備構(gòu)建全面的OpSec防護(hù)計(jì)劃，可以參考以下8個最佳實(shí)踐經(jīng)驗(yàn)：

01

精確的系統(tǒng)運(yùn)行管理

定期進(jìn)行應(yīng)用系統(tǒng)版本更新是保持系統(tǒng)平穩(wěn)運(yùn)行的必要條件，但它們也可能成為攻擊利用的載體。為了保護(hù)系統(tǒng)運(yùn)行安全，必須實(shí)施精確的系統(tǒng)版本管理流程，包括強(qiáng)制記錄、變更控制、持續(xù)監(jiān)視和定期審核。

02

選擇合適的服務(wù)商

現(xiàn)代企業(yè)需要通過第三方供應(yīng)商來提供一系列服務(wù)，以改善客戶和內(nèi)部業(yè)務(wù)體驗(yàn)。然而，第三方服務(wù)商也是重大風(fēng)險的來源。如果合作伙伴不能與企業(yè)保持一致的網(wǎng)絡(luò)安全價值觀，那么就應(yīng)該選擇一個新的服務(wù)商了！事實(shí)上，如果第三方服務(wù)商未能滿足安全法規(guī)的要求導(dǎo)致違規(guī)行為或風(fēng)險事件產(chǎn)生，企業(yè)需要為此負(fù)責(zé)。

03

限制對網(wǎng)絡(luò)和設(shè)備的訪問

不是任何人都可以訪問企業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)。只有經(jīng)過批準(zhǔn)并得到驗(yàn)證的設(shè)備才能連接到業(yè)務(wù)網(wǎng)絡(luò)。企業(yè)應(yīng)該設(shè)置警報機(jī)制，以防未經(jīng)授權(quán)的設(shè)備非法連接到網(wǎng)絡(luò)系統(tǒng)，因?yàn)檫@可能對敏感業(yè)務(wù)數(shù)據(jù)構(gòu)成威脅。

04

遵循最小特權(quán)原則

實(shí)施包含多因素身份驗(yàn)證（MFA）和密碼管理的零信任策略可以幫助企業(yè)阻止未經(jīng)授權(quán)的用戶。同時，企業(yè)應(yīng)該將員工權(quán)限限制在“工作必需”的最低基礎(chǔ)上，這樣可以最大限度地防止內(nèi)部威脅，并降低因憑證竊取而導(dǎo)致嚴(yán)重?cái)?shù)據(jù)泄露的可能性。

05

對管理權(quán)力的制衡

此舉是為了企業(yè)安全而實(shí)施的“制衡”手段。雙重控制（dual control）可以提供更有效的安全性覆蓋，而不會將所有責(zé)任放在某一個用戶或部門。在實(shí)際應(yīng)用中，企業(yè)應(yīng)該是將業(yè)務(wù)部門的權(quán)限與安全團(tuán)隊(duì)的權(quán)限進(jìn)行區(qū)分，并互相牽制、平衡，防止內(nèi)部惡意攻擊行為的出現(xiàn)。

06

利用自動化技術(shù)

現(xiàn)代企業(yè)面臨的一個重大威脅就是人為錯誤。通過自動化技術(shù)，可以將繁瑣、重復(fù)的人工任務(wù)交給機(jī)器去完成，這樣可以幫助組織減少人為失誤，降低數(shù)據(jù)泄露或其他安全事件的可能性。

07

制定現(xiàn)實(shí)可行的政策

如果企業(yè)制定的安全政策超出安全運(yùn)營部門能夠?qū)崿F(xiàn)的范圍，那么在內(nèi)部審計(jì)時，您就會發(fā)現(xiàn)自己永遠(yuǎn)處于落后局面。為了保障OpSec計(jì)劃能夠真正落地，企業(yè)應(yīng)該編寫具有挑戰(zhàn)性但可又實(shí)現(xiàn)的安全制度和流程。

08

事件響應(yīng)和災(zāi)難恢復(fù)優(yōu)先

沒有100%的安全，即使是最成功的OpSec計(jì)劃，在某些時候也會存在安全問題。因此，企業(yè)應(yīng)該制定詳細(xì)的事件響應(yīng)和災(zāi)難恢復(fù)計(jì)劃，這樣可以大大降低安全事件發(fā)生后造成的影響。當(dāng)企業(yè)了解如何應(yīng)對威脅，并如何減輕損失時，將幫助企業(yè)更好地開啟OpSec之旅。