11条优化安全投入的绝佳建议
发布时间:2018-03-06 15:56
防火墙、IDS/IPS和杀毒软件这“老三样”传统安全产品,早已不足以防御当今无处不在的安全边界。于是我们还需要对自己的内部网络拥有完全可见性,再配合经常性的渗透测试、风险评估,以及各种各样的安全建议和前沿保护技术……
但是,所有这些都需要钱来搞定!在安全资金的分配上,哪家公司都不会等闲视之。如何将有限的资源最大化的利用?哪些措施是可以用很少的钱或者不花钱就能采用的?怎么“发现”预算中可以投入到网络安全上的资金?与其跟风购置最新最潮的技术,不如听听安全专家们的建议:
1. 找出需要真正防护的数据
服务器上的数据并非全都是金子,不是所有数据都要求相同级别的防护。比如用户订单号和内部处理流程相关信息,与支付信息、联系人信息和客户个人信息相比,后者则重要的多。因此,分别对待。
定义数据的重要性可以从公司的业务目标入手,然后确定支持这些目标的最重要的资产。比如说,如果是零售企业,客户的支付数据和其他个人可识别信息(PII)就是最重要的东西。
2. 不慌不忙 循序渐进
网络安全工作是一场没完没了的马拉松,始终保持对最新技术和威胁态势的跟进只能越来越让人身心疲惫。作好安全工作的关键在于保持冷静,并将问题打散细分成可控的小块,不失一个很有效的做法。同时,集中精力攻克可迭代可测试的小改进,最终你的安全体系才会变得强大。否则,如果你一次同时跟进10个项目,在各个场景间频繁切换会花费大量时间开销而收效甚微。
3. 拥抱自动化
从事IT行业的人都知道,重复性工作不过是在浪费工时。今天的安全人员已经被大量警报淹没了。但其实,要最小化风险,他们每天面对的不过是些重复性问题:你是怎么进行加密的?日志呢?单点登录呢?多因子身份验证呢?这些重复性问题简直是时间杀手。
因此一个可以实现外部访问的自服务门户很可能是问题的解决之道。拿入侵分析来说,部署一套自动化数字取证工具来分析被入侵的机器。数字工具能提供快速又廉价的网络响应,公司无需再派人到现场或者往PC上安装额外软件,避免将高级分析师的宝贵资源浪费在单调的取证工作上。
4. 集中化与标准化
复杂是安全的天敌。在企业范围内应用一套标准的安全资源、过程和工具,可以节省大量的人力物力投入。要尽最大的努力,以验证过的且简单有效的工具来集中化安全防御措施。否则,如果每个项目都用不同的方法,评估和防护工作就会变得困难之极。
5. 依靠社区
你不是一个人在战斗,我们有一整个安全社区可以提供帮助,还开源工具。很多开源工具都是免费试用的,而且大多数工具都可以升级到付费版。最好再多参加一些本地的同行聚会,或者通过项目平台或职业社交网站找到能提供明智建议的安全专家。
6. 玩好渗透测试
聘不起外部团队来一场全面彻底的模拟黑客攻击并不意味着就该放弃渗透测试。如果你有一支小型安全团队,只是没有渗透测试所需的资源。那不妨以团队建设练习的方式弄一个“黑客之夜”,团队成员之间不用平时的管理员权限,展开攻防对抗。
7. 为最坏情况做准备
未雨绸缪不需要购买任何硬件或软件,但却能在真的被黑时有所帮助。一个事件响应计划的核心就是要做好发生安全事件的准备,即便没有一分钱安全预算,也可以做潜在事件响应计划,不至于事件发生时手足无措。
8. 安全托管
外包安全职能可以为中小企业节省大量成本。与其他任何提供商类似,优秀的安全服务商拥有非常棒的知识产权和技能,能够充分提供安全外包服务。这要比聘用正式员工来做同样的事省钱的多。
9. 即付即用
即便每个月只花很少的费用外包,但如果是定期的话,也可能是一笔不菲的固定资本开销。这时,也可以考虑运营开销模式来为某个设备或项服务提供安全保障。这种模式可以不用支付大笔资金就试水产品或服务,你需要做的就是询问你的安全提供商是否提供这种模式的付费。
10. 人的积极因素
有时候转变非IT部门人员的思维,可以事半功倍。比如,来一次快速的社会工程渗透,一旦发现人员培训的问题,就能将安全问题转化为HR问题,将安全焦点推进到其他部门,预算自然也就不在话下。我们的整体目标是更好的信息安全,但也需要其他部门的共同参与。
11. 向钱看
事实上,网络安全预算筹措中的一大问题,就是不要把它当成纯粹的IT问题。试想,如果企业的客户关系管理(CRM)系统被黑了,大家还能以公司的名义做任何业务吗?系统被黑的真正损失到底是什么?这么一想,自然就会开始认真考虑安全问题,也更容易让公司高层做出选择。约CEO大聊特聊当前的各种攻击形式和风险未必能让他们信服,但如果跟他们说‘如果这些系统宕机了,宕机期间会造成多少钱的损失’,那就是标准的商业对话,会让他们快速做出决策。