所有公司的五个网络安全必要条件
根据Scott Carlson,Tevertrust的技术研究员和执行安全顾问的说法,所有的操作系统都应该做出他们可以控制他们可以改善他们对网络攻击的恢复力的一切。
“谈到网络安全和控制身份和特权时,我认为有五件事是非可选的,”他告诉欧洲识别和云大会2017年慕尼黑。
首先,卡尔森表示,那些负责信息安全的人必须确保他们以正确的语言沟通。
“使用您正在交谈的人或团体的语言。我们都知道系统架构师对公司高管讲一种不同的语言,而且所收购公司向新所有者讲不同语言。
“无论你选择沟通什么样的风格,说实话真的很重要。我们的工作是给予人们可以使用的信息来帮助我们解决问题。我们需要讲述真相,我们必须用商务语言说话,而不是技术。在控制和用例中说,“他说。
然后它是通过信息安全专业人员来映射公司用例来控制,然后购买或构建一个工具来强制执行这些控件。
“很少有公司现在建立一个工具,因为有很多企业级[安全]供应商,其产品适合在大多数公司中使用。你不需要POUT如何把东西放在一起。你需要以适合您的方式实施某些东西。“
其次,虽然有很多关于基于风险的安全性的谈判,但最重要的部分是在数据资产方面识别他们的“皇冠珠宝”的组织。
“组织必须识别对他们来说重要的,但我并不意味着您应该在您进行信息安全之前运行CMDB [Configuration Management Database]项目,”他说,因为常常组织推迟保护数据资产,因为它们永远不会保护数据资产完全选择了所有资产。
相反,Carlson表示,信息安全专业人员应询问董事会,10个副总统,10个数据库管理员和10个系统架构师,其中10个最重要的数据资产所在。
“只是通过做这个简单的练习,我将是你将至少知道你公司重要的90%,”他说。“当您开始将身份和特权控件应用于最重要的事情时,请从中获取人员可以立即命名,因为它们是最重要的。先保护皇冠珠宝。“
第三,组织管理对特权用户帐户的访问是非常重要的,因为根据每个独立的安全报告,绝大多数成功的网络攻击都滥用了特权。
他说,内部人士要么滥用自己的特权,要么被盗,猜测它,或者与那个有它的人勾结。“也许你只需要更改[特权用户帐户]密码,因为您之前从未完成过,或者在过去的12年之前也是一样的。”
卡尔森表示,大约95%的特权归结为映射到特权账户的人,并在正确的地方。
“更改密码,记录他们所做的操作,如果您不需要,请关闭它。将您的时间花在您的业务上的事情上,并使用工具或进程来完成可以自动化的东西,如密码旋转和多因素身份验证。停止思考它,然后做到这一点。他说,太多人陷入了分析瘫痪。“
第四,组织需要更聪明地了解漏洞和补丁管理,因为许多人仍然不是很好的,尽管大多数攻击使用已经修补的漏洞。
“企业通常使用新的业务逻辑至少一年升级他们最关键的处理系统,因此为什么我们不能作为安全和基础设施人员打开更改票证,遵循业务流程和修补程序?如果我们不这样做,我们就会冒它失去僵尸网络,“他说。
只需通过解决特权访问和补丁管理,组织可以消除攻击者使用的至少90%的成功漏洞。
但是,他表示,组织的漏洞管理计划应专注于其特定的关键资产,以限制其必须保持最重要的漏洞的范围。“看看对你组织最大的风险最大,并且有一个已知的漏洞利用,以便修补你对你很重要,”卡尔森说
“它不再是你是否应该这样做的问题。我想挑战你为什么没有这样做过。如果您仍在考虑边缘案例[像开发人员],请将它们放下作为边缘案例并立即解决其他98%,“他说,添加了大多数这些边缘案例由特权账户管理软件供应商寻址。
第五,卡尔森表示,所有组织都需要确保他们检测事物的能力侧重于滥用特权,而且与最重要的数据资产有关。
“通过增加的共同选手,这是令人敬畏的,闭环补救措施再次成为一件事。您可以检测恶意软件并触发特权更改。您可以检测到不当行为并触发重新认证。使用Stix和Taxii,您可以实时对API,SIEM和Privilege管理系统进行反应。
“当你看看如何检测和响应时,你必须做出像打开日志记录功能一样的基础知识,并有一个暹粒来组织这个信息,但如果你可以回复什么是关键的并且滥用什么,它会帮助你尽快回应。
“分层安全仍然是一件事。我们仍然需要一些东西来防止人们闯入,你需要保护你的端点免受恶意软件和特权滥用的,你应该在你的人民和数据中心之间有一个网守,而在数据中心内你应该记录,检测和控制,“他说。
“如果你还没有做那些东西,那就开始这样做。”