安全事件频发,是黑客太强还是防御太佛系?
12月8日4iQ的创始人兼首席技术官Julio Casal爆料,在地下黑客论坛上有一个14亿登录凭证的数据泄露。另一边,今年二月份,最大的暗网托管服务网站Freedom Hosting II上,一个匿名的黑客由于看不惯其为儿童色情网站提供托管服务,而黑入了Freedom Hosting II导致其所有托管网站下线……
随着互联网技术的发展,继今年全球大规模地出现Wannacry勒索病毒、Locky勒索病毒之后,网络安全事件再次频发,并不断升级。对企业来说,我们要重新思考,安全事件频发到底是黑客太强,还是防御太佛系?本文试图从安全防御和人才建设方面跟大家说道一下。
深挖网络安全事件根源
企业战略集团(ESG)和信息系统安全协会(ISSA)的一项新研究发现,培训缺乏、网络安全人手不足,以及公司的漠视,是导致安全事件的主要原因。最近,ESG与ISSA协作发布了一份题为《网络安全人员的生活与时代》的新研究报告。
该项研究表明,网络安全技能缺乏所能导致的后果,远不止“网络安全职位数超过具有合适技能和背景的人群数量”这一条明显结论。作为该研究项目的一部分,ESG和ISSA想要弄清楚:网络安全人才短缺,究竟是不是各企业连续遭遇安全事件的贡献因素。
为此,343位网络安全从业者(大部分是ISSA成员),被问及自家公司在过去2年中是否经历过安全事件,比如:系统破坏、恶意软件感染、DDoS攻击、正对性攻击、数据泄露等等。超过半数(53%)的受访者承认,他们的公司自2015年来经历了至少1起安全事件。值得注意的是,有34%的受访者回答称“不知道/不想说”,于是,实际经历了安全事件的公司占比,可能会比明确承认的比例高得多。
网络安全事件的四种主要因素
承认经历过安全事件的受访者,随后被问及事件的贡献因素。数据显示:
哪些问题是安全事件的主因?
31%提到非技术员工的培训缺失:
这表明,雇员可能会打开恶意附件、点击恶意链接、踩中社会工程骗局陷阱,导致系统破坏和数据泄露。很明显,公司并未设置专人或拨出专款来进行丰富的网络安全培训,于是尝到了偷懒吝啬的苦果。
22%称网络安全团队相对于公司规模还不够壮大:
已有文章指出,网络安全人才短缺的影响,就包括员工工作量的激增,以及牺牲了计划和策略的短视性应急响应。这次的数据则还暴露出,人才短缺直接导致了更多的安全事件,造成业务中断、公关危机和数据泄露。
20%认为业务和行政管理倾向于将网络安全当做低优先级任务:
ESG/ISSA研究中贯穿始终的一个话题,是在网络安全方面缺乏恰当的业务监管。公司管理层忽视了他们身上被赋予的网络安全责任。根据本次调查研究的数据,2018年下半年,GDPR开始实施后,预计可以看到几起巨额罚款案。
18%称现有网络安全团队跟不上工作量的暴涨:
工作量太大,而员工数太少。
数据泄露检测、主动威胁捕猎和事件响应,都是人员密集型过程,且依赖的是具备先进技术的人员。于是,网络安全人才短缺会造成深远影响的假设,就很合乎逻辑了。ESG/ISSA研究证明,其间关联度很高,可以说,网络安全职位空缺很多的公司企业,可以预期其网络将遭遇大量恶意攻击。
网络安全意识逐步提升
全面组建网络安全防护体系
从调查结果看到,全球的网络安全意识普遍不足。但可喜的是,这种状态在不断改善。
国内政府和企业也在逐步加强重视。如6月1日正式颁布了《网络安全法》,刚结束不久的十九大中,习近平同志也提出了建设网络强国的战略部署。新《网络安全法》中第二十条明确提出“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。” 国家这一举措会推动大家网络安全意识日渐提升,促进网络安全防御整体水平不断提高。
近一年来,国内的安全资讯和各大SRC异军突起,导致信息源杂而繁多,不过也呈现出一种好的态势,国内企业对于信息安全加大重视,已经开始建设属于自身的应急响应中心,如招商银行早已建立自己的SOC安全运维团队和应急响应中心。华青融天用户民生银行、中信银行等也建立了自己的一套安全防护体系,对于安全事件积极地应对。每个安全资讯平台也都呈现共享免费,提供的信息即时性强、响应快、内容新。
企业网络安全如何构建?
企业可建设多支队伍来进行企业安全的全面防护,如下图中的红、蓝、紫三队。红队代表企业内部安全人员;蓝队代表企业外部安全人员,如白帽子群体等;紫队代表企业外部技术顾问和辅助人员。这样,当企业内部应对不来,或者遇到比较复杂棘手的安全问题时,可以同时借助外部的安全力量,双管齐下,全面防护。
Red Teaming-企业内部安全人员(大量“运维”人员)
华青融天在SOC安全运营人才团队建设有自己的一套心得,如定期在企业内部进行安全沙龙的讨论,另一方面我们根据企业情况进行人员编制和分配,建立一线、二线、三线监控组合。一线安全人员进行7*24小时实时监控及事件处理;二线为5*8小时监控以及安全事件规则的定制;三线后台人员则为重大安全应急事件进行决策。建立一套从一线实时监控,到事件实时处理等系统性的事件处理流程,从而进行全面安全防护。
Blue Teaming-企业外部安全人员(白帽子群体)
对于白帽子自身而言,一方面是为了技术的提升,另一方面公布漏洞能得到相应的报酬。他们会识别计算机系统或网络系统中的安全漏洞,并进行公布。比如微软就充分利用了白帽子这批外部资源,筑建了自身的安全防护墙。
Purpel Teaming-企业外部技术顾问人员
Gartner数据报告显示,前十大安全领域收入排行中,资讯公司位居三位,数据说明各企业在安全方面需求和意识都在不断提升。企业在外部咨询过程中,可借力提升自己的安全防护水平。
企业网络安全人员如何进行有针对性地提升和学习
网络安全人员的知识面,决定能看到的攻击面。知识链,决定能看到的攻击杀伤链有多深。所以对每个企业网络安全人员来说,拥有快速的学习能力是一种必备的技能,不但不能有短板,而且还要组建和提高自己大量的标准板和长板。
网络安全人员要熟悉《网络安全法》等相关法律和政策,与时代接轨,在平时工作中不断总结积累经验,多向技术大牛学习和请教,自己也在工作之余学习相关知识,全面系统的学习,形成自己的一套网络安全管理和防御策略体系。