前任美国陆军网络司令部安全运营中心负责人就抵御攻击者入侵议题分享了他的经验与惨痛教训。“从立场角度出发,负责运行紧急响应团队与扮演安全运营中心主管角色之间存在着显著差别。我将后者称为一种“记者席”类型的网络安全视角,而这一结论源自我在美国陆军网络司令部的安全运营中心担任负责人以及近来在FireHost公司担任CSO职务时积累到的所见所闻。”
在扮演上述角色的过程中,我的任务并非承担特定基础设施的安全保障工作,但这些工作经历却让我开始意识到大部分从业者在处理安全事务时采取的都是“防御姿态”。有鉴于此,我开始记录下那些导致我的团队遭遇安全违规事故的本质原由。而从这些原由当中,我发现了安全运营中心领域最为常见的五大陷阱。
陷阱一:采取集中化规划与执行方式
为数众多的大型跨国企业希望能够以集中化方式实现安全事务的规划与执行。在这种情况下,无论大家向其中投入多少人工智能以及计算资源,由此带来的大数据处理难题都不可能得到有效解决。
我们在美国陆军全球安全运营中心内采取的方案是以集中化方式处理规划、但以分散方式将其付诸执行。我们的全球安全运营中心会根据威胁调查结果推出相应防御对策,但具体执行权则被交给各区域安全运营中心——包括运用这些威胁指标并对其区域内部安全堆栈提供的警报信息加以管理。各区域团队也拥有充分的灵活性对具体安全态势做出调整,这就确保了其能够在必要的情况下拥有高于全球基准的针对性应对措施。安全信息与事件管理(简称SIEM)数据会被传输至全球安全运营中心并作为分析素材。然而,各区域安全运营中心会首先对SIEM事件进行过滤、同时清除混杂于其中的虚假警报。
陷阱二:将安全运营中心的任务与责任外包出去
具体来讲,我曾经亲眼见证过两大主要趋势:企业通过外包方式管理安全服务供应商以及/或者采取离岸外包将安全运营中心事务交由高价值区域的合作方处理。就其本身而言,把一部分安全运营中心事务交由第三方负责并不是什么大问题。其中的关键就在,我们绝不该把安全运营的相关职责移交给其它服务供应商——这种模式根本起不到理想中的效果。一家企业能够也应该将警报以及其它部分安全设备管理工作外包出去,但安全运营中心对于此类警报的管理能力必须牢牢掌握在内部团队手中。我怀疑这正是企业在将安全运营中心加以外包时希望得到的结果,但只有具备专业知识的内部人员才有能力根据错误警报采取对应行动、从而选择将其忽略或者通过重新分配实现成本节约战略。我建议每一个安全事务团队都尽可能将紧急事件处理流程保留在企业内部环境当中。
陷阱三:坚信单靠技术本身已经足以提供有效的安全保障
尽管选择正确的技术方案非常重要,但经过良好培训的工作人员以及正确的技术利用方式也拥有同样关键的地位。我曾经同我自己的团队分享过这样一种观点:“老虎伍兹能够用我的高尔夫杆打出出色的成绩,但我却没办法用他的球杆打出世界一流水平。”其中的核心在于,大家必须高度关注如何对安全工具加以利用、同时依靠方法性方案对来自这些工具的处理结果进行分析。如果我们认真解读过去几年内发生过的全部主要安全违规事故,就会发现大部分违规早已被技术方案检测出来,只不过没有合适的人员以及流程能够及时加以解决。不要妄想利用购买新型技术产品来替代员工培训以及流程开发,这样的战略方针注定会遭受失败。
陷阱四:把事件管理与问题管理混为一谈
我拜访过的很多安全运营中心——包括军方及民用组织——都会引入大量行动,但却没能找到真正的执行方向或者需要实现的目标。他们拥有丰富的数据分析与开启支持能力,但却没有讨论过该如何抢在威胁发生之前采取行动并降低自身攻击面。在我为美国军方承担安全管理事务之前,我曾经担任过CIO职务并效力于基础设施供应商,这让我对于大部分IT服务供应商所采用的ITILv3框架非常熟悉。我注意到,绝大多数安全团队能够实现基本的突发事件管理,但却无法真正理解事件管理与问题管理之间的区别。
如果大家正在寻求正确的衡量指标并进行趋势分析,就会清楚地认识到安全控制与策略是在何时失去效果的。几乎没有多少安全团队能够为此类分析提供足够的传输带宽,也正是因为如此,作为威胁根源的恶意攻击者才能利用同样的技术、战略以及规程在安全破坏活动中取得成功。
陷阱五:对一切对象加以保护(在多数情况下,保护一切意味着毫无保护)
恶意攻击者可能只对全部数据及基础设施体系中约2%内容感兴趣,但他们会利用其余98%作为跳板来获得访问这2%内容的能力。一部分最具创新能力的CIO拿出了自己的解决方案,这也是我目前为止见过的最为睿智的安全策略——他们将自己的网络视为“有争议的空间”而非被严密保护在坚固城墙当中的堡垒。这些创新推动者们会积极对自身网络进行细化拆分,并将最有价值的数据、应用程序以及VIP用户迁移到安全保障能力更强、更为可靠的基础设施体系当中。事实上,我们的大部分客户会把其难于保护的规范化数据及应用程序交由强大的云服务供应商负责,从而保证这些关键性资产能够得到高度专注的重视及严格保护。
我们在自有安全运营工作当中采取的另一项举措在于将安全性与漏洞管理精力集中在已经确定的“关键性区域”当中。过去十年以来,安全威胁的起效流程并没有出现太大的变化。一般而言,恶意攻击者会入侵主机、提升权限,然后寻找机会对受害者的基础设施加以利用、使其反过来成为攻击用户的武器。我们的方案则旨在确保此类基础设施,例如Active Directory、软件分发系统以及其它关键性区域,拥有更理想的安全保障水平、并对威胁活动进行定期审计。
当然,这五种常见陷阱还无法代表我们在实际工作中可能遇到的全部状况。不过这些正是我的安全团队选择重点投入并加以高度关注的层面。我们的目标在于保护自己的关键性资产、在其遭受入侵时快速掌握情况并利用实时举措对威胁加以遏制甚至是消除。如果有朋友坚持认为自己的目标在于创建一套完美的安全环境,那么我得先泼一盆冷水:这种方案压根就不存在。然而,如果大家能够利用明智的安全运营机制——其中集合了正确的人员、正确的流程以及正确的技术方案——尽可能缩小受攻击面,那么我们的这套防御体系将对恶意攻击者的技术水平提出严峻挑战。换句话来说,绝大部分攻击者只能放弃尝试,转而寻常那些更容易对付的攻击目标。