网络攻击者正变得越来越聪明,他们的攻击行为也越来越隐蔽。在网络攻防的博弈中,击败攻击者的唯一有效方法,就是像攻击者一样思考,将安全防护措施领先于潜在的网络攻击行为和漏洞利用,从被动事件响应转化为主动威胁防御。在此背景下,企业组织构建全面的行动安全(Operational Security,尊龙凯时登录OpSec)防护计划至关重要。 OpSec是一种研究潜在攻击行为的主动安全防护技术,最初是为军事组织开发的。根据美国国家安全局(NSA)解密的一份文件 美国 OpSec 计划的起源与发展 披露:在越南战争中,美国开始注重于从敌方角度审视其自身的安全态势,判断敌方可能的进攻意图和能力,并发现敌方是如何获取美军的计划和情报信息,以此来制定最终的反制策略。这种 让敌人无法了解我们的优势和弱点 的能力被称为行动安全即OpSec。 2023年1月,美国国家情报局(ODNI)和国家反情报与安全中心(NCSC)首次对 OpSec 进行了定义:OpSec是一个系统化的过程,旨在将威胁防护措施前置,更早识别和保护敏感和关键信息, 并消除对手获取这些信息的能力。由此可以看出,不论是在战时还是平时,掌握 信息优势 都是决定博弈成败的关键所在。借助全面的OpSec安全计划,企业安全运营团队将能够在攻击者实际利用系统错误或漏洞之前识别并修复它们,从而掌握主动。 根据ODNI和NCSC给出的定义,OpSec不是有明确规范的行为准则,而是一个实现主动安全防护能力的流程。遵循这个流程可以让企业获得更大的安全性。一个全面的OpSec计划需要包含以下关键要素: OpSec计划旨在建立防御潜在威胁的第一道防线,因此需要企业多个部门的密切配合才能发挥最大的作用。如果企业准备构建全面的OpSec防护计划,可以参考以下8个最佳实践经验: 定期进行应用系统版本更新是保持系统平稳运行的必要条件,但它们也可能成为攻击利用的载体。为了保护系统运行安全,必须实施精确的系统版本管理流程,包括强制记录、变更控制、持续监视和定期审核。 现代企业需要通过第三方供应商来提供一系列服务,以改善客户和内部业务体验。然而,第三方服务商也是重大风险的来源。如果合作伙伴不能与企业保持一致的网络安全价值观,那么就应该选择一个新的服务商了!事实上,如果第三方服务商未能满足安全法规的要求导致违规行为或风险事件产生,企业需要为此负责。 不是任何人都可以访问企业的网络和业务系统。只有经过批准并得到验证的设备才能连接到业务网络。企业应该设置警报机制,以防未经授权的设备非法连接到网络系统,因为这可能对敏感业务数据构成威胁。 实施包含多因素身份验证(MFA)和密码管理的零信任策略可以帮助企业阻止未经授权的用户。同时,企业应该将员工权限限制在 工作必需 的最低基础上,这样可以最大限度地防止内部威胁,并降低因凭证窃取而导致严重数据泄露的可能性。 此举是为了企业安全而实施的 制衡 手段。双重控制(dual control)可以提供更有效的安全性覆盖,而不会将所有责任放在某一个用户或部门。在实际应用中,企业应该是将业务部门的权限与安全团队的权限进行区分,并互相牵制、平衡,防止内部恶意攻击行为的出现。 现代企业面临的一个重大威胁就是人为错误。通过自动化技术,可以将繁琐、重复的人工任务交给机器去完成,这样可以帮助组织减少人为失误,降低数据泄露或其他安全事件的可能性。 如果企业制定的安全政策超出安全运营部门能够实现的范围,那么在内部审计时,您就会发现自己永远处于落后局面。为了保障OpSec计划能够真正落地,企业应该编写具有挑战性但可又实现的安全制度和流程。 没有100%的安全,即使是最成功的OpSec计划,在某些时候也会存在安全问题。因此,企业应该制定详细的事件响应和灾难恢复计划,这样可以大大降低安全事件发生后造成的影响。当企业了解如何应对威胁,并如何减轻损失时,将帮助企业更好地开启OpSec之旅。 参考链接:https://www.tripwire.com/state-of-security/operational-security-best-practices-create-comprehensive-opsec-program |
部门热线
前 台:13588889999
业务部:13588889999
客服部:13588889999
技术部:13566667777
人事部:13566667777