運營安全:創建全面OPSEC計劃的8個最佳實踐
責編:gltian |2023-05-11 15:15:08惡意黑客越來越聰明,他們的攻擊越來越陰險狡詐。料敵機先,規避漏洞,是打贏網絡安全攻防戰的唯一途徑。如果想保護公司免受網絡威脅侵害,就必須具備黑客思維,從攻擊者的角度審視自身防御。
運營安全亦稱OPSEC,是考慮潛在攻擊者視角的一門學科。這種安全方法積極主動,幫助IT團隊和安全經理識別并修復風險和漏洞,不給犯罪分子留可乘之機。
OPSEC最初是為軍事機構設計的,但現在很多企業也在實施OPSEC計劃,保護自身敏感數據免遭潛在威脅損害。各家公司不再坐等事件發生再去補救,而是設立OPSEC團隊,更有效地管理安全風險。
那么,運營安全涉及哪些事項?公司該如何著手呢?以下八種最佳實踐可以幫助公司創建自己的OPSEC計劃。
運營安全是什么?
OPSEC的目標是在搶在惡意黑客之前找到并修復安全漏洞,避免這些漏洞被惡意黑客用于犯罪目的。各類企業都持有敏感信息,比如客戶標識、支付卡信息,以及專有商業策略和商業秘密等。OPSEC可以防止此類數據落入惡人之手。
OPSEC涉及IT團隊、安全團隊、安全經理和數據分析師之間的多方協調。盡管77%的企業通常只有3到5名分析師負責管理其安全運營中心,但很多企業都有專職的IT員工和安全執行經理。OPSEC旨在建立防御潛在威脅的前沿陣地,需要公司所有人通力合作才能發揮這一前沿陣地的最大效用。
運營安全的組成要素
構筑運營安全計劃基礎的五個要素分別是:
1、識別敏感數據和信息
2、識別潛在攻擊途徑
3、分析安全弱點
4、確定每個漏洞的風險級別
5、實施緩解計劃
識別敏感數據和信息
數據都存儲在哪兒?服務器上都保存著哪些敏感信息?客戶信息、知識產權、員工數據、財務報表和市場研究數據都是需要保密的敏感信息。
識別潛在攻擊途徑
攻擊者對哪類數據感興趣?有沒有第三方可以訪問公司的系統?哪種類型的攻擊最有可能成功侵入系統?想要防止數據泄露,你先得知道自己的弱點都在哪兒。
分析安全弱點
各個風險級別都需要采取哪些保護措施?哪些安全功能是有效的?哪些安全功能需要調整?企業需要客觀評估現有安全基礎設施,確定哪些方面風險最大。
確定每個漏洞的風險級別
哪些漏洞風險最高?發生攻擊的概率有多大?攻擊可能造成多大影響?必須根據嚴重性和影響排序風險。
實施風險緩解計劃
需要制定哪些安全流程?如何實施安全規程?何時推出新的安全流程?事關OPSEC,風險緩解就是全盤布局的最后一環。
OPSEC最佳實踐
如果企業準備深入OPSEC,可以考慮以下幾個最佳實踐:
實施精確流程
涉及變更管理時,流程精確尤為重要。想要保證系統平穩運行,調整和更新是不可或缺的,但這些變更也有可能成為黑客的攻擊渠道。為保障企業安全,變更管理必須實施精確流程,比如強制記錄、變更控制、持續監控和定期審計。
選擇合適的提供商
第三方提供商可以為企業提供一系列服務來改善客戶和內部體驗。然而,服務提供商本身也是一種重大風險來源。比如說,如果虛擬主機提供商與公司在網絡安全觀上意見相左,或者遭遇了數據泄露,那就可以考慮換一家虛擬主機提供商了。其他所有第三方服務和網絡提供商也適用這一條。事實上,只要公司受網絡安全法規的約束,第三方提供商未能滿足法規的安全要求也是公司的責任。
限制網絡和設備訪問
公司的網絡和端點不應該是隨便哪個人都有權訪問的。要確保只有經批準的設備才連接到業務網絡,并設置警報防止未授權設備連接公司系統,因為未授權連接可能會對公司敏感業務數據造成威脅。
遵循最小權限原則
包含多因素身份驗證和密碼管理的零信任策略有助于阻止未授權用戶。員工按需知情可以防止內部人威脅,減小被盜憑證導致重大數據泄露的概率。
實施雙重管控
這有點兒類似“制衡”,但是出于企業安全目的。雙重管控可以提供足夠的安全保障,又不會將所有責任都推給某一個用戶或部門。業務網絡的使用者和安全負責人不是同一個最好。
引入自動化
企業面臨的最大威脅就是人為失誤。自動化一些繁瑣的重復性任務有助于減少出錯的可能性,防止發生數據泄露或者其他安全事件。
制定切合實際的策略
如果制定的策略是公司無法達到的,那內部審計方面就永遠差一口氣。制定切合實際的策略,具有挑戰性但至少可以實現,這樣你的OPSEC計劃才會取得成功。
重視事件響應和災難恢復
即便是最成功的OPSEC實施方案有時候也會出現安全問題。但只要有細致的事件響應和災難恢復計劃,就可以有效防止未授權訪問和數據滲漏。你計劃如何應對威脅?怎么減輕損失?這些問題的答案可以幫助你著手OPSEC計劃。
按照以上建議開啟OPSEC之旅,公司便可在此基礎上持續改進。積極主動的安全方法就是最好的防護。深入探討運營安全實踐,保護公司免遭網絡威脅侵害。
來源:數世咨詢