面對(duì)緊張的預(yù)算和資源，可供企業(yè)組織使用的安全措施有限。因此，企業(yè)組織需要根據(jù)戰(zhàn)略目標(biāo)對(duì)安全措施進(jìn)行優(yōu)先級(jí)排序。但現(xiàn)實(shí)中，由于諸多原因，企業(yè)組織的總體安全目標(biāo)并不明確，在這種情況下，企業(yè)組織可以嘗試“日拱一卒”，制定階段性的局部目標(biāo)。

[[432579]]

2021年CISO(首席信息安全官)應(yīng)該重點(diǎn)關(guān)注的五個(gè)工作目標(biāo)：

創(chuàng)建網(wǎng)絡(luò)釣魚防范計(jì)劃

無(wú)線通信公司Verizon在其DBIR 2021數(shù)據(jù)泄露報(bào)告中指出，網(wǎng)絡(luò)釣魚仍然是網(wǎng)絡(luò)攻擊最常用的手段，在2020年甚至更為流行，占攻擊事件的36%。遠(yuǎn)高于一年前的25%，這一增長(zhǎng)反映了2020年上半年與新冠肺炎疫情相關(guān)網(wǎng)絡(luò)釣魚誘餌的涌入。面對(duì)網(wǎng)絡(luò)釣魚攻擊的日益增長(zhǎng)，CISO和其他安全專業(yè)人員需要優(yōu)先創(chuàng)建反網(wǎng)絡(luò)釣魚程序。

網(wǎng)絡(luò)釣魚攻擊會(huì)針對(duì)業(yè)務(wù)人員發(fā)送以假亂真的信息，并使用心理戰(zhàn)術(shù)營(yíng)造緊迫感，促使收件人點(diǎn)擊。因此，企業(yè)組織需要對(duì)員工進(jìn)行網(wǎng)絡(luò)釣魚方面的教育，確保企業(yè)組織內(nèi)從人力資源、法律到研發(fā)部門的每個(gè)人都了解要查找的危險(xiǎn)信號(hào)、如何報(bào)告可疑消息以及避免單擊鏈接或打開網(wǎng)絡(luò)釣魚電子郵件中包含的文件。

重新審視漏洞管理

Verizon在其DBIR 2021中發(fā)現(xiàn)，與利用較新漏洞相比，涉及較舊漏洞的攻擊更為常見。產(chǎn)生這種趨勢(shì)的部分原因是企業(yè)組織并不總是將修補(bǔ)作為優(yōu)先事項(xiàng)，如果不能及時(shí)修補(bǔ)漏洞，攻擊者就可以連續(xù)數(shù)年利用相同的漏洞進(jìn)行攻擊和破壞。

企業(yè)組織可以通過(guò)漏洞管理(VM)、漏洞掃描(通常指CVE漏洞列表或“常見漏洞和暴露”掃描)來(lái)應(yīng)對(duì)這一趨勢(shì)，再根據(jù)風(fēng)險(xiǎn)對(duì)這些漏洞進(jìn)行嚴(yán)重性和修復(fù)優(yōu)先級(jí)排序。

企業(yè)組織實(shí)施VM程序的一個(gè)難點(diǎn)是了解哪些漏洞是首先要緩解的。當(dāng)漏洞堆積時(shí)，企業(yè)組織判斷哪些漏洞最嚴(yán)重且具有潛在破壞性可能是一項(xiàng)挑戰(zhàn)。企業(yè)組織可以選擇使用高級(jí)VM解決方案，提供靈活、精細(xì)的評(píng)分系統(tǒng)，對(duì)已知缺陷進(jìn)行優(yōu)先排序。

加強(qiáng)云上資產(chǎn)保護(hù)

2021年，外部云資產(chǎn)的安全事件比內(nèi)部資產(chǎn)更常見。這意味著企業(yè)組織需要了解他們的云安全責(zé)任。雖然云安全提供商將保護(hù)企業(yè)組織正在使用的云基礎(chǔ)設(shè)施，但企業(yè)組織仍然有責(zé)任確保添加到云中的所有數(shù)據(jù)和流程安全。

高級(jí)云帳戶監(jiān)控網(wǎng)絡(luò)安全工具可以掃描企業(yè)組織云帳戶中的錯(cuò)誤配置，因?yàn)檫@些錯(cuò)誤配置可能會(huì)成為攻擊者的窗口。云監(jiān)控工具可以按照風(fēng)險(xiǎn)級(jí)別對(duì)云帳戶錯(cuò)誤配置進(jìn)行優(yōu)先級(jí)排序，以便安全團(tuán)隊(duì)可以解決最關(guān)鍵的問(wèn)題。

優(yōu)先考慮工業(yè)網(wǎng)絡(luò)安全

根據(jù)Verizon的年度安全報(bào)告，工業(yè)環(huán)境，尤其是制造業(yè)環(huán)境，已經(jīng)成為攻擊者的熱門目標(biāo)。事實(shí)上，研究人員發(fā)現(xiàn)勒索軟件對(duì)制造企業(yè)漏洞的惡意利用比前幾年增加了61.2%。報(bào)告還發(fā)現(xiàn)，個(gè)人數(shù)據(jù)是這些攻擊行為中受損最嚴(yán)重的數(shù)據(jù)類型。

企業(yè)組織可以通過(guò)優(yōu)先考慮工業(yè)網(wǎng)絡(luò)安全來(lái)做出響應(yīng)。例如，安全團(tuán)可以重點(diǎn)考慮實(shí)施工業(yè)可見性解決方案來(lái)保護(hù)運(yùn)營(yíng)(OT)環(huán)境 。可見性始于整體資產(chǎn)清單，安全團(tuán)隊(duì)可以使用一種工具，通過(guò)完整的硬件和軟件資產(chǎn)清單，準(zhǔn)確地顯示網(wǎng)絡(luò)上的各種資產(chǎn)。

企業(yè)組織需要知道這些設(shè)備正在與誰(shuí)通信，設(shè)備配置是否在變化，以及存在哪些漏洞，并了解日志中隱藏的問(wèn)題。一旦企業(yè)組織實(shí)現(xiàn)了工業(yè)網(wǎng)絡(luò)安全的實(shí)時(shí)可見性，就可以實(shí)施保護(hù)性安全控制，并持續(xù)監(jiān)控企業(yè)組織的網(wǎng)絡(luò)環(huán)境。

使用CIS控件

Verizon在其報(bào)告中曾表示，“‘夯實(shí)基礎(chǔ)’將有助于解決最有可能影響企業(yè)組織的絕大多數(shù)安全問(wèn)題。” 而這個(gè)“基礎(chǔ)”的重要組成部分之一就是CIS(全稱Clever Internet Suite)控件，CIS控件是一套提供給軟件開發(fā)者，進(jìn)行Internet網(wǎng)絡(luò)開發(fā)的控件。由互聯(lián)網(wǎng)安全中心維護(hù)的CIS最佳實(shí)踐優(yōu)先列表是一個(gè)免費(fèi)的、備受推崇的框架，企業(yè)組織可以使用它來(lái)確保擁有最重要的安全控制。

CIS安全控制將企業(yè)組織的數(shù)字環(huán)境視為一所房子，如果沒有基本的安全措施，任何人都可以進(jìn)入。企業(yè)組織遵守基本的安全控制，尤其是在CIS Controls v8 實(shí)施組1中列出的那些，可以幫助其關(guān)閉窗戶，鎖上門，并安裝一個(gè)標(biāo)準(zhǔn)的安全系統(tǒng)。雖然沒有可以完全消除攻擊者闖入的可能性，但實(shí)施CIS控制有助于降低攻擊的可能性和影響。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文