網(wǎng)絡(luò)攻擊者正變得越來(lái)越聰明，他們的攻擊行為也越來(lái)越隱蔽。在網(wǎng)絡(luò)攻防的博弈中，擊敗攻擊者的唯一有效方法，就是像攻擊者一樣思考，將安全防護(hù)措施領(lǐng)先于潛在的網(wǎng)絡(luò)攻擊行為和漏洞利用，從被動(dòng)事件響應(yīng)轉(zhuǎn)化為主動(dòng)威脅防御。在此背景下，企業(yè)組織構(gòu)建全面的行動(dòng)安全（Operational Security，OpSec）防護(hù)計(jì)劃至關(guān)重要。

什么是OPSEC

OpSec是一種研究潛在攻擊行為的主動(dòng)安全防護(hù)技術(shù)，最初是為軍事組織開(kāi)發(fā)的。根據(jù)美國(guó)國(guó)家安全局（NSA）解密的一份文件“美國(guó) OpSec 計(jì)劃的起源與發(fā)展”披露：在越南戰(zhàn)爭(zhēng)中，美國(guó)開(kāi)始注重于從敵方角度審視其自身的安全態(tài)勢(shì)，判斷敵方可能的進(jìn)攻意圖和能力，并發(fā)現(xiàn)敵方是如何獲取美軍的計(jì)劃和情報(bào)信息，以此來(lái)制定最終的反制策略。這種“讓敵人無(wú)法了解我們的優(yōu)勢(shì)和弱點(diǎn)”的能力被稱為行動(dòng)安全即OpSec。

2023年1月，美國(guó)國(guó)家情報(bào)局（ODNI）和國(guó)家反情報(bào)與安全中心（NCSC）首次對(duì)“OpSec”進(jìn)行了定義：OpSec是一個(gè)系統(tǒng)化的過(guò)程，旨在將威脅防護(hù)措施前置，更早識(shí)別和保護(hù)敏感和關(guān)鍵信息， 并消除對(duì)手獲取這些信息的能力。由此可以看出，不論是在戰(zhàn)時(shí)還是平時(shí)，掌握“信息優(yōu)勢(shì)”都是決定博弈成敗的關(guān)鍵所在。借助全面的OpSec安全計(jì)劃，企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)將能夠在攻擊者實(shí)際利用系統(tǒng)錯(cuò)誤或漏洞之前識(shí)別并修復(fù)它們，從而掌握主動(dòng)。

 根據(jù)ODNI和NCSC給出的定義，OpSec不是有明確規(guī)范的行為準(zhǔn)則，而是一個(gè)實(shí)現(xiàn)主動(dòng)安全防護(hù)能力的流程。遵循這個(gè)流程可以讓企業(yè)獲得更大的安全性。一個(gè)全面的OpSec計(jì)劃需要包含以下關(guān)鍵要素：

• 識(shí)別敏感數(shù)據(jù)和信息企業(yè)首先要明確哪些是需要保護(hù)的敏感信息，他們存儲(chǔ)在哪里，在哪些服務(wù)器上有違規(guī)存在的敏感信息。通常企業(yè)的客戶信息、知識(shí)產(chǎn)權(quán)、員工隱私數(shù)據(jù)、財(cái)務(wù)報(bào)表和市場(chǎng)研究數(shù)據(jù)都是需要嚴(yán)格保護(hù)的敏感信息。
• 識(shí)別潛在的攻擊媒介識(shí)別潛在的攻擊媒介屬于威脅情報(bào)的范疇，主要是根據(jù)要保護(hù)的數(shù)據(jù)信息，確定潛在的威脅形式。在防止關(guān)鍵信息數(shù)據(jù)泄露之前，企業(yè)應(yīng)該知道目前的薄弱環(huán)節(jié)在哪里，比如：哪些類型的數(shù)據(jù)對(duì)攻擊者有吸引力？是否有第三方可以進(jìn)入組織系統(tǒng)？
• 審查安全弱點(diǎn)和漏洞企業(yè)在掌握自己可能面臨的攻擊面之后，就需要針對(duì)每個(gè)攻擊風(fēng)險(xiǎn)級(jí)別采取合適的保護(hù)措施準(zhǔn)備，對(duì)存在的問(wèn)題進(jìn)行修復(fù)。企業(yè)需要對(duì)現(xiàn)有的安全基礎(chǔ)設(shè)施進(jìn)行客觀評(píng)估，并確定各安全工具是否可以正常發(fā)揮作用。
• 評(píng)估漏洞的風(fēng)險(xiǎn)級(jí)別當(dāng)企業(yè)發(fā)現(xiàn)已存在的安全風(fēng)險(xiǎn)和漏洞后，接下來(lái)就是對(duì)其可能產(chǎn)生的影響和后果進(jìn)行評(píng)估，并說(shuō)明這些漏洞被利用的后果。哪些漏洞的風(fēng)險(xiǎn)最高？發(fā)生入侵的可能性有多大？攻擊會(huì)造成多大損失？風(fēng)險(xiǎn)必須根據(jù)其嚴(yán)重程度和影響進(jìn)行排序。
• 實(shí)施緩解和修復(fù)計(jì)劃實(shí)施OpSec的根本目的，是為了降低企業(yè)的安全風(fēng)險(xiǎn)。因此在發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)漏洞并評(píng)估優(yōu)先級(jí)后，就要采取對(duì)應(yīng)的修復(fù)措施。需要特別說(shuō)明的是，風(fēng)險(xiǎn)是在不斷的變化中，并沒(méi)有100%的安全，安全運(yùn)營(yíng)團(tuán)隊(duì)需要在安全投入和防護(hù)效果之間實(shí)現(xiàn)動(dòng)態(tài)的平衡。

OpSec計(jì)劃的最佳實(shí)踐

OpSec計(jì)劃旨在建立防御潛在威脅的第一道防線，因此需要企業(yè)多個(gè)部門(mén)的密切配合才能發(fā)揮最大的作用。如果企業(yè)準(zhǔn)備構(gòu)建全面的OpSec防護(hù)計(jì)劃，可以參考以下8個(gè)最佳實(shí)踐經(jīng)驗(yàn)：

01精確的系統(tǒng)運(yùn)行管理 

定期進(jìn)行應(yīng)用系統(tǒng)版本更新是保持系統(tǒng)平穩(wěn)運(yùn)行的必要條件，但它們也可能成為攻擊利用的載體。為了保護(hù)系統(tǒng)運(yùn)行安全，必須實(shí)施精確的系統(tǒng)版本管理流程，包括強(qiáng)制記錄、變更控制、持續(xù)監(jiān)視和定期審核。

02選擇合適的服務(wù)商

現(xiàn)代企業(yè)需要通過(guò)第三方供應(yīng)商來(lái)提供一系列服務(wù)，以改善客戶和內(nèi)部業(yè)務(wù)體驗(yàn)。然而，第三方服務(wù)商也是重大風(fēng)險(xiǎn)的來(lái)源。如果合作伙伴不能與企業(yè)保持一致的網(wǎng)絡(luò)安全價(jià)值觀，那么就應(yīng)該選擇一個(gè)新的服務(wù)商了！事實(shí)上，如果第三方服務(wù)商未能滿足安全法規(guī)的要求導(dǎo)致違規(guī)行為或風(fēng)險(xiǎn)事件產(chǎn)生，企業(yè)需要為此負(fù)責(zé)。

03限制對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn)

不是任何人都可以訪問(wèn)企業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)。只有經(jīng)過(guò)批準(zhǔn)并得到驗(yàn)證的設(shè)備才能連接到業(yè)務(wù)網(wǎng)絡(luò)。企業(yè)應(yīng)該設(shè)置警報(bào)機(jī)制，以防未經(jīng)授權(quán)的設(shè)備非法連接到網(wǎng)絡(luò)系統(tǒng)，因?yàn)檫@可能對(duì)敏感業(yè)務(wù)數(shù)據(jù)構(gòu)成威脅。

04遵循最小特權(quán)原則

實(shí)施包含多因素身份驗(yàn)證（MFA）和密碼管理的零信任策略可以幫助企業(yè)阻止未經(jīng)授權(quán)的用戶。同時(shí)，企業(yè)應(yīng)該將員工權(quán)限限制在“工作必需”的最低基礎(chǔ)上，這樣可以最大限度地防止內(nèi)部威脅，并降低因憑證竊取而導(dǎo)致嚴(yán)重?cái)?shù)據(jù)泄露的可能性。

05對(duì)管理權(quán)力的制衡 

此舉是為了企業(yè)安全而實(shí)施的“制衡”手段。雙重控制（dual control）可以提供更有效的安全性覆蓋，而不會(huì)將所有責(zé)任放在某一個(gè)用戶或部門(mén)。在實(shí)際應(yīng)用中，企業(yè)應(yīng)該是將業(yè)務(wù)部門(mén)的權(quán)限與安全團(tuán)隊(duì)的權(quán)限進(jìn)行區(qū)分，并互相牽制、平衡，防止內(nèi)部惡意攻擊行為的出現(xiàn)。

06利用自動(dòng)化技術(shù) 

現(xiàn)代企業(yè)面臨的一個(gè)重大威脅就是人為錯(cuò)誤。通過(guò)自動(dòng)化技術(shù)，可以將繁瑣、重復(fù)的人工任務(wù)交給機(jī)器去完成，這樣可以幫助組織減少人為失誤，降低數(shù)據(jù)泄露或其他安全事件的可能性。

07制定現(xiàn)實(shí)可行的政策

如果企業(yè)制定的安全政策超出安全運(yùn)營(yíng)部門(mén)能夠?qū)崿F(xiàn)的范圍，那么在內(nèi)部審計(jì)時(shí)，您就會(huì)發(fā)現(xiàn)自己永遠(yuǎn)處于落后局面。為了保障OpSec計(jì)劃能夠真正落地，企業(yè)應(yīng)該編寫(xiě)具有挑戰(zhàn)性但可又實(shí)現(xiàn)的安全制度和流程。

08事件響應(yīng)和災(zāi)難恢復(fù)優(yōu)先 

沒(méi)有100%的安全，即使是最成功的OpSec計(jì)劃，在某些時(shí)候也會(huì)存在安全問(wèn)題。因此，企業(yè)應(yīng)該制定詳細(xì)的事件響應(yīng)和災(zāi)難恢復(fù)計(jì)劃，這樣可以大大降低安全事件發(fā)生后造成的影響。當(dāng)企業(yè)了解如何應(yīng)對(duì)威脅，并如何減輕損失時(shí)，將幫助企業(yè)更好地開(kāi)啟OpSec之旅。

參考鏈接：??https://www.tripwire.com/state-of-security/operational-security-best-practices-create-comprehensive-opsec-program??