前任美國(guó)陸軍網(wǎng)絡(luò)司令部安全運(yùn)營(yíng)中心負(fù)責(zé)人就抵御攻擊者入侵議題分享了他的經(jīng)驗(yàn)與慘痛教訓(xùn)。“從立場(chǎng)角度出發(fā)，負(fù)責(zé)運(yùn)行緊急響應(yīng)團(tuán)隊(duì)與扮演安全運(yùn)營(yíng)中心主管角色之間存在著顯著差別。我將后者稱為一種“記者席”類型的網(wǎng)絡(luò)安全視角，而這一結(jié)論源自我在美國(guó)陸軍網(wǎng)絡(luò)司令部的安全運(yùn)營(yíng)中心擔(dān)任負(fù)責(zé)人以及近來(lái)在FireHost公司擔(dān)任CSO職務(wù)時(shí)積累到的所見(jiàn)所聞。”

在扮演上述角色的過(guò)程中，我的任務(wù)并非承擔(dān)特定基礎(chǔ)設(shè)施的安全保障工作，但這些工作經(jīng)歷卻讓我開(kāi)始意識(shí)到大部分從業(yè)者在處理安全事務(wù)時(shí)采取的都是“防御姿態(tài)”。有鑒于此，我開(kāi)始記錄下那些導(dǎo)致我的團(tuán)隊(duì)遭遇安全違規(guī)事故的本質(zhì)原由。而從這些原由當(dāng)中，我發(fā)現(xiàn)了安全運(yùn)營(yíng)中心領(lǐng)域最為常見(jiàn)的五大陷阱。

陷阱一：采取集中化規(guī)劃與執(zhí)行方式

為數(shù)眾多的大型跨國(guó)企業(yè)希望能夠以集中化方式實(shí)現(xiàn)安全事務(wù)的規(guī)劃與執(zhí)行。在這種情況下，無(wú)論大家向其中投入多少人工智能以及計(jì)算資源，由此帶來(lái)的大數(shù)據(jù)處理難題都不可能得到有效解決。

我們?cè)诿绹?guó)陸軍全球安全運(yùn)營(yíng)中心內(nèi)采取的方案是以集中化方式處理規(guī)劃、但以分散方式將其付諸執(zhí)行。我們的全球安全運(yùn)營(yíng)中心會(huì)根據(jù)威脅調(diào)查結(jié)果推出相應(yīng)防御對(duì)策，但具體執(zhí)行權(quán)則被交給各區(qū)域安全運(yùn)營(yíng)中心——包括運(yùn)用這些威脅指標(biāo)并對(duì)其區(qū)域內(nèi)部安全堆棧提供的警報(bào)信息加以管理。各區(qū)域團(tuán)隊(duì)也擁有充分的靈活性對(duì)具體安全態(tài)勢(shì)做出調(diào)整，這就確保了其能夠在必要的情況下?lián)碛懈哂谌蚧鶞?zhǔn)的針對(duì)性應(yīng)對(duì)措施。安全信息與事件管理(簡(jiǎn)稱SIEM)數(shù)據(jù)會(huì)被傳輸至全球安全運(yùn)營(yíng)中心并作為分析素材。然而，各區(qū)域安全運(yùn)營(yíng)中心會(huì)首先對(duì)SIEM事件進(jìn)行過(guò)濾、同時(shí)清除混雜于其中的虛假警報(bào)。

陷阱二：將安全運(yùn)營(yíng)中心的任務(wù)與責(zé)任外包出去

具體來(lái)講，我曾經(jīng)親眼見(jiàn)證過(guò)兩大主要趨勢(shì)：企業(yè)通過(guò)外包方式管理安全服務(wù)供應(yīng)商以及/或者采取離岸外包將安全運(yùn)營(yíng)中心事務(wù)交由高價(jià)值區(qū)域的合作方處理。就其本身而言，把一部分安全運(yùn)營(yíng)中心事務(wù)交由第三方負(fù)責(zé)并不是什么大問(wèn)題。其中的關(guān)鍵就在，我們絕不該把安全運(yùn)營(yíng)的相關(guān)職責(zé)移交給其它服務(wù)供應(yīng)商——這種模式根本起不到理想中的效果。一家企業(yè)能夠也應(yīng)該將警報(bào)以及其它部分安全設(shè)備管理工作外包出去，但安全運(yùn)營(yíng)中心對(duì)于此類警報(bào)的管理能力必須牢牢掌握在內(nèi)部團(tuán)隊(duì)手中。我懷疑這正是企業(yè)在將安全運(yùn)營(yíng)中心加以外包時(shí)希望得到的結(jié)果，但只有具備專業(yè)知識(shí)的內(nèi)部人員才有能力根據(jù)錯(cuò)誤警報(bào)采取對(duì)應(yīng)行動(dòng)、從而選擇將其忽略或者通過(guò)重新分配實(shí)現(xiàn)成本節(jié)約戰(zhàn)略。我建議每一個(gè)安全事務(wù)團(tuán)隊(duì)都盡可能將緊急事件處理流程保留在企業(yè)內(nèi)部環(huán)境當(dāng)中。

陷阱三：堅(jiān)信單靠技術(shù)本身已經(jīng)足以提供有效的安全保障

盡管選擇正確的技術(shù)方案非常重要，但經(jīng)過(guò)良好培訓(xùn)的工作人員以及正確的技術(shù)利用方式也擁有同樣關(guān)鍵的地位。我曾經(jīng)同我自己的團(tuán)隊(duì)分享過(guò)這樣一種觀點(diǎn)：“老虎伍茲能夠用我的高爾夫桿打出出色的成績(jī)，但我卻沒(méi)辦法用他的球桿打出世界一流水平。”其中的核心在于，大家必須高度關(guān)注如何對(duì)安全工具加以利用、同時(shí)依靠方法性方案對(duì)來(lái)自這些工具的處理結(jié)果進(jìn)行分析。如果我們認(rèn)真解讀過(guò)去幾年內(nèi)發(fā)生過(guò)的全部主要安全違規(guī)事故，就會(huì)發(fā)現(xiàn)大部分違規(guī)早已被技術(shù)方案檢測(cè)出來(lái)，只不過(guò)沒(méi)有合適的人員以及流程能夠及時(shí)加以解決。不要妄想利用購(gòu)買新型技術(shù)產(chǎn)品來(lái)替代員工培訓(xùn)以及流程開(kāi)發(fā)，這樣的戰(zhàn)略方針注定會(huì)遭受失敗。

陷阱四：把事件管理與問(wèn)題管理混為一談

我拜訪過(guò)的很多安全運(yùn)營(yíng)中心——包括軍方及民用組織——都會(huì)引入大量行動(dòng)，但卻沒(méi)能找到真正的執(zhí)行方向或者需要實(shí)現(xiàn)的目標(biāo)。他們擁有豐富的數(shù)據(jù)分析與開(kāi)啟支持能力，但卻沒(méi)有討論過(guò)該如何搶在威脅發(fā)生之前采取行動(dòng)并降低自身攻擊面。在我為美國(guó)軍方承擔(dān)安全管理事務(wù)之前，我曾經(jīng)擔(dān)任過(guò)CIO職務(wù)并效力于基礎(chǔ)設(shè)施供應(yīng)商，這讓我對(duì)于大部分IT服務(wù)供應(yīng)商所采用的ITILv3框架非常熟悉。我注意到，絕大多數(shù)安全團(tuán)隊(duì)能夠?qū)崿F(xiàn)基本的突發(fā)事件管理，但卻無(wú)法真正理解事件管理與問(wèn)題管理之間的區(qū)別。

如果大家正在尋求正確的衡量指標(biāo)并進(jìn)行趨勢(shì)分析，就會(huì)清楚地認(rèn)識(shí)到安全控制與策略是在何時(shí)失去效果的。幾乎沒(méi)有多少安全團(tuán)隊(duì)能夠?yàn)榇祟惙治鎏峁┳銐虻膫鬏攷?，也正是因?yàn)槿绱?，作為威脅根源的惡意攻擊者才能利用同樣的技術(shù)、戰(zhàn)略以及規(guī)程在安全破壞活動(dòng)中取得成功。

陷阱五：對(duì)一切對(duì)象加以保護(hù)(在多數(shù)情況下，保護(hù)一切意味著毫無(wú)保護(hù))

惡意攻擊者可能只對(duì)全部數(shù)據(jù)及基礎(chǔ)設(shè)施體系中約2%內(nèi)容感興趣，但他們會(huì)利用其余98%作為跳板來(lái)獲得訪問(wèn)這2%內(nèi)容的能力。一部分最具創(chuàng)新能力的CIO拿出了自己的解決方案，這也是我目前為止見(jiàn)過(guò)的最為睿智的安全策略——他們將自己的網(wǎng)絡(luò)視為“有爭(zhēng)議的空間”而非被嚴(yán)密保護(hù)在堅(jiān)固城墻當(dāng)中的堡壘。這些創(chuàng)新推動(dòng)者們會(huì)積極對(duì)自身網(wǎng)絡(luò)進(jìn)行細(xì)化拆分，并將最有價(jià)值的數(shù)據(jù)、應(yīng)用程序以及VIP用戶遷移到安全保障能力更強(qiáng)、更為可靠的基礎(chǔ)設(shè)施體系當(dāng)中。事實(shí)上，我們的大部分客戶會(huì)把其難于保護(hù)的規(guī)范化數(shù)據(jù)及應(yīng)用程序交由強(qiáng)大的云服務(wù)供應(yīng)商負(fù)責(zé)，從而保證這些關(guān)鍵性資產(chǎn)能夠得到高度專注的重視及嚴(yán)格保護(hù)。

我們?cè)谧杂邪踩\(yùn)營(yíng)工作當(dāng)中采取的另一項(xiàng)舉措在于將安全性與漏洞管理精力集中在已經(jīng)確定的“關(guān)鍵性區(qū)域”當(dāng)中。過(guò)去十年以來(lái)，安全威脅的起效流程并沒(méi)有出現(xiàn)太大的變化。一般而言，惡意攻擊者會(huì)入侵主機(jī)、提升權(quán)限，然后尋找機(jī)會(huì)對(duì)受害者的基礎(chǔ)設(shè)施加以利用、使其反過(guò)來(lái)成為攻擊用戶的武器。我們的方案則旨在確保此類基礎(chǔ)設(shè)施，例如Active Directory、軟件分發(fā)系統(tǒng)以及其它關(guān)鍵性區(qū)域，擁有更理想的安全保障水平、并對(duì)威脅活動(dòng)進(jìn)行定期審計(jì)。

當(dāng)然，這五種常見(jiàn)陷阱還無(wú)法代表我們?cè)趯?shí)際工作中可能遇到的全部狀況。不過(guò)這些正是我的安全團(tuán)隊(duì)選擇重點(diǎn)投入并加以高度關(guān)注的層面。我們的目標(biāo)在于保護(hù)自己的關(guān)鍵性資產(chǎn)、在其遭受入侵時(shí)快速掌握情況并利用實(shí)時(shí)舉措對(duì)威脅加以遏制甚至是消除。如果有朋友堅(jiān)持認(rèn)為自己的目標(biāo)在于創(chuàng)建一套完美的安全環(huán)境，那么我得先潑一盆冷水：這種方案壓根就不存在。然而，如果大家能夠利用明智的安全運(yùn)營(yíng)機(jī)制——其中集合了正確的人員、正確的流程以及正確的技術(shù)方案——盡可能縮小受攻擊面，那么我們的這套防御體系將對(duì)惡意攻擊者的技術(shù)水平提出嚴(yán)峻挑戰(zhàn)。換句話來(lái)說(shuō)，絕大部分攻擊者只能放棄嘗試，轉(zhuǎn)而尋常那些更容易對(duì)付的攻擊目標(biāo)。

原文鏈接：http://www.darkreading.com/operations/5-pitfalls-to-avoid-when-running-your-soc-/a/d-id/1318218