大多数组织都可以列出他们拥有的IT安全工具和控件,那么为什么他们中的大多数仍然会出现安全基础错误?

网络安全领域存在一定的谬误。它从第一天起就一直存在,并且今天继续蓬勃发展。神话只是安全控制工作,而在主要情况下,他们没有。

长久以来,安全团队一直存在谎言,即他们所提供的内容是有效的,但他们往往从与他们所影响的客户脱离的角度来处理它。为了公平对待大多数安全团队,他们通常幸福地没有意识到他们控制的低效率 - 或者是无知的。

这无疑是一个非常笼统的声明,但在关于数据泄露的标题之后的头条新闻倾向于争论这一点。让我们在这里不要害羞 - 这些都是在保护他们的皇冠珠宝时出现系统性失败的大公司。有些东西不合适。

怎么会这样?IT安全支出处于历史最高水平。涵盖安全性所有可能方面的安全产品数量是无与伦比的。降低风险的技术可能性是无限的。我们拥有比以往更多的专家。而且,当然,这些天我们拥有大数据和人工智能(AI)来解决我们在与超人类对手的战斗中所遇到的所有弊病,并且具有极其复杂的攻击。

那是现实吗?在安全方面,组织是否明智地花钱?组织是做正确的事情还是纸上谈论?实际上,它是后者 - 这就是为什么。

安全战略
让我们从战略开始 - 最重要的使命。有多少组织有这样的事情?一些。通过业务参与建立了多少?更少。安全策略通常是从偏见的立场写成的,并且是获得预算以使组织的态度成熟的一种手段。

为了使战略变得合理,首先应该看到现有位置的有效性和成熟度,以及它需要达到的清晰视线。这需要深入了解安全运营的业务,同时测量整个组织中无数安全拼图的影响。

这几乎从未发生过。如果确实如此,安全团队会认识到需要主要进行投资,而且几乎完全只是修复已经存在的垃圾。

怎么会这样?好吧,让我们来看看几乎每个组织在其安全图片中都会有的一些拼图。

安全政策
政策 - 我们都有政策。如果你在政府工作,你将有更多的政策,而不是你可以动摇,在其他组织或行业,希望不那么好。然而,几乎每项政策都相当于十诫:你不应该犯奸淫; 你不能分享你的密码。

你很少会看到任何解释,为什么这是一件坏事,或者更确切地说是一个改变风险的事情。您也不会看到客户替代方案的解释 - 换句话说,他们应该通过不共享密码来实现同样的目标。

在这种情况下,委托访问机制是一种选择 - 但是,当然,这些机制不在安全团队的控制之下,这反过来意味着安全团队依赖于另一个团队,可能是IT。为了使客户(用户)能够遵守该策略,共享密码的替代方法必须非常简单,容易和灵活。并且必须进行推广,以便用户知道他们可以做什么,而不是分享他们的密码对风险的影响较小。

这里的问题在于,政策是由安全人员对安全人员的偏见所写的。如果我们对自己诚实并且可能与我们的客户群打交道,我们也会了解到几乎没有人真正阅读这些政策,这些政策通常太长而且语气错误 - 甚至更少的人真正了解它们。

网络安全 – 为什么你这么做都错了-IDC帮帮忙

如果您的政策没有被阅读或理解,那么就没有必要。与操作程序大致相同 - 政策或程序有所说明,然后就是人们所做的事实。人们共享密码等等。处理它。

用户意识
也许在这里可以提供帮助的东西可以提高我们客户的安全意识。那将是一个好主意。大多数组织都这样做,这很好。然而,大多数组织实际上做的是一年一次的强制性计算机培训练习,其中包括用户点击下一个,下一个,下一个,下一个,下一个,然后回答10个问题,如果他们弄错了,他们不应该允许带鞋带的鞋子。

你可以嘲笑这个然后感叹,因为它正是你在组织中所做的。这很常见,很荒谬。这也是荒谬的,因为它没有积极的影响 - 它是一个完全和完全浪费时间和金钱。安全意识不是,但这种方法是。您只需勾选一个方框,就像正在进行强制性安全培训的用户一样,以及他们的多样性,健康和安全以及其他年度盒装体育锻炼。

这不是一个好的开始。虽然没关系 - 我们有一些技术控制。哦,是的,我们有防火墙。事实上,我们有来自不同供应商的双对防火墙。当我们安装它们时,我们默认阻止了所有不必要的端口和协议。我们把它固定了。晶圆厂!

业务变化
然后,这个称为业务变化的小事发生了,其中业务,那些小小的rapscallions,决定做出改变。新流程,新技术,新合作伙伴 - 重要的不是。作为该更改的一部分,我们需要向防火墙添加规则以允许连接。没有它,改变将失败。

它通过变更控制,虽然 - 旧的ITIL - 所以它仍然很好。当然,除了它之外,它并没有真正告诉我们防火墙的改变是否会以任何方式改变我们的风险状况。

当然,现在,这只是一个变化,企业会定期做出很多改变。嘿,在您知道之前,您的防火墙上有四个规则,现在有4,000个。您的防火墙已从有效控制转变为有效加热数据中心。

问问自己:你最后一次查看防火墙规则是什么时候?让我们轻松一下:您最后一次查看外部防火墙上的规则是什么时候?让我们不要问你是否改变了它们,因为这种情况不太可能发生。如果WannaCry告诉我们任何事情,那就是我们说外部防火墙是次优的。那个严厉警告后你有没有看过他们?

入侵检测和预防
但是,它仍然可以,因为我们有入侵检测系统(IDS)和入侵防御系统(IPS)。快乐的时光。这里的一个小问题是,如果您对网络中正在使用的协议和端口有一个模糊的概念,它确实非常有用。如果您的内部真实流量看起来不足以触发IDS,这也会有所帮助。如果您对网络上的资产有最微弱的线索,这也是非常有益的 - 但稍后会有更多相关信息。当然,你看过警报吗?

我们假设您确实监控警报。粗略估计,误报的百分比是多少?在高达90%,任何机会?主要是因为上面提到的事情,我们刚刚建立了东西,并将其插入其他东西多年。大多数插件都是尽可能简单地完成,而不是在理想的世界中应该如何完成。

那么我们如何应对所有这些误报呢?我们是否通过让资产以更好的方式相互交流来调查原因并影响变化以减少噪音?不,我们只是将完全真实的规则拒之门外。那就好了。

IPS怎么样?几乎没有人在“预防”模式下打开它。因为,坦率地说,它会阻止大量真正的业务流量,并且会很快再次关闭。然后,安全性从业务中受到冲击并失去信誉。

现在所有这些都不是安全的错。在网络配置方面,IT有很多答案,等等。如果你想进行有效的改变,甚至了解今天的情况,你真的必须一起工作。

资产库存
以下是另外两个考虑因素 - 资产和用户。资产清单的准确性是多少?如果幸运的话可能是60%。用户?也许稍好一点。存在一个巨大的问题,即大多数组织不知道有多少用户与帐户相比他们拥有的实际人数。他们也不会以任何方式准确了解有多少资产,地点,健康状况等等。

在这里没有任何现实,你将要挣扎大时间。这些用户拥有哪些特权?他们目前的职责是否需要他们?在访问权限方面,我们是否可以移动,添加,更改?离开者怎么样?顾问和承包商?供应商?管理员怎么样 - 他们有多少,哪里,谁和他们有互联网接入?

但至少我们为每个人都有个人(也许)帐户,所以这仍然是一个控制权,对吧?嗯,是的,只有你记录并且可能偶尔看一遍。因为,您知道,用户共享密码是因为它比委派访问更容易。因此,无需检查,您将永远不会在不同的计算机上看到来自同一用户的双重登录。或者他们当然会让他们的同事坐在他们的办公桌旁并使用他们的机器。

资产也是如此。简而言之,如果您不知道自己的资产是什么,更不用说自己的健康和状况,您怎么知道自己的漏洞是什么?它有点使漏洞管理或修补变得困难。

防病毒更新
但是,它仍然可以,因为我们在任何地方都有防病毒软件(AV)。让我们不要了解不同的AV方法的哪一个以及不同,但只是问:你多久更新一次代理,有多少未能更新?哦,等等,你不知道你有多少资产,这使得这很棘手,但你每天都会更新AV。好。但是,毫无疑问,由于某种原因,有几种资产不会每天更新。

好的,但尽管如此,你还有一个安全运营中心(SOC)。所以你仍然保持自己处于有利位置,因为你有一个关于玻璃的SOC眼睛; 像弹簧一样盘绕,准备应对最轻微的噪音。要是。

除了不知道网络(或网络)上正在使用哪些资产,用户,端口或协议之外,您现在正在记录所有这些内容并将其粘贴在一个大型安全事件和事件管理(SIEM)引擎中 - 有效地收集和在星期六晚上在格拉斯顿伯里(Glastonbury)捣乱的声音。

这只是噪音。您的SOC分析师将在误报后进行误报,并遭受巨大的警报疲劳。追逐幽灵,一般不会增加大量的价值。你可能只是处理已知的警报而不是实际寻找异常,因为一切看起来都是异常的,建立正常的基线几乎是不可能的。大多数已知的警报将是控制工作,例如阻止不良电子邮件或误报。

这不是画一张漂亮的照片,说实话 - 主要是因为它不是一张漂亮的照片。那些数据之类的东西呢?你知道,就好像你有一个线索,你的数据是什么?好的,你有你知道的数据库,但是你知道它们在哪里吗?人们将它们送回家之后会有相当多的个人设备,因为如果没有这些愚蠢的安全措施,它会更容易在那里工作。

甚至你的数据库 - 它们可能都是加密的,这很棒。但是,当合法资产(用户或设备)询问该数据库的合法问题时会发生什么?它回复了吗?回复是否加密?如果该资产是恶意的怎么办?

风险管理
风险和几乎没有人以真实形式进行风险管理的事实呢?您知道 - 持续的测量,计划和行动循环。

大多数组织处理理论风险(一次性评估)和“减轻”风险的名义控制。然后,构成每个风险的参数会改变,因为他们有做的习惯,没有人注意或反应,因为他们不知道如何衡量所述参数并采取相应的行动。

听起来有点熟?您如何衡量安全风险的每个参数?威胁行为者/来源,威胁,利用,漏洞/弱点,可能性,影响等。您是否在组织的背景下持续衡量它们?可能不会。但你冒风险,对吗?

还在?如果您认识到组织内的任何这些事情,那么您需要关注那些而不是下一代灵丹妙药,大数据或AI解决方案,因为它不起作用。如果你不认识这些东西,那么你看起来不够努力,或者你在0.1%的基础上做得很好。

这么多组织遭受破坏的原因很简单,就是在完成安全基础知识方面的失败。无论您购买多少安全技术,都会失败。是时候回归基础了。