原文:
annas-archive.org/md5/8570b4b9b47974c7302ce023e1eb9bc8
译者:飞龙 协议:CC BY-NC-SA 4.0
九、攻击和防御方法的演变
当我写下这本书的第一版时,网络安全只是网络安全专家和精明的高管感兴趣的话题。这本书是为了让任何人都能理解,并且尽管我预测了网络攻击的大规模增加,但我也没有预料到网络犯罪的迅速增长会如此极端。
网络犯罪现在是地球上增长最快的行业,据估计,2016 年的收入达到了 4450 亿美元(来源:世界经济论坛)。这个数字预计在未来几年将翻一番以上。
在前一章中,我们回顾了预防和检测网络攻击的主要传统方法。
关于这些防御措施的信息非常基础,在这本入门级的书中,主要目标是提供对这个广泛主题领域的基本、全面的理解。然而,对攻击和防御方法的演变方式的任何讨论都需要更深入地了解不同的技术和其他类型的控制。因此,本章将进一步探讨攻击和防御的演变。
首先,正如我们在前几章中所介绍的,有效防止不受欢迎的入侵或滥用电子设备及其所包含信息的唯一方法是采取比简单实施技术控制更全面的方法。
例如,英国网络基本要求方案是众多旨在帮助组织建立更好防御的框架之一,它指出仅有效管理五个关键领域就能防止 80%的攻击。这些领域包括:
- 有效的防火墙位置和管理。
- 安全配置。
- 用户访问控制。
- 恶意软件防护。
- 及时的补丁管理。
安全配置 - 确保在应用设置到任何项目(设备或软件)时,始终采取适当的步骤来确保(i)默认账户被移除或禁用,(ii)不使用共享账户,以及(iii)项目中的所有保护和防御控制都使用最强的适当设置。默认账户 - 通常具有管理员访问权限的通用用户和密码权限,通常作为某些应用程序和硬件的标准配置在初始设置期间提供。访问控制 - 通过权限管理和限制物理、虚拟或数字区域的进入或退出所使用的规则和技术。权限通常分配给个人、设备或应用程序服务,以确保使用的责任和可追溯性。可以使用(i)物理令牌(你所拥有的东西)来保护权限;例如,一个钥匙卡,(ii)秘密信息(你所知道的东西);例如,密码或(iii)生物识别信息 - 使用人体部位(如指纹或眼部扫描)来获取访问权限(你所是的东西)。还可见多因素身份验证。补丁管理 - 用于在数字设备上部署关键的临时软件更新的受控过程。通常发布软件的“补丁”是为了响应已经确定的关键缺陷或漏洞。未及时应用新的临时软件更新可能会使存在的安全漏洞暴露出来。因此,及时应用这些更新(补丁管理)被认为是维护有效网络安全性的关键组成部分。 |
---|
在上面的列表中显而易见的是,三个加粗的项目(安全配置、用户访问控制和及时的补丁管理),都依赖于人类执行某些程序。因此,它们不是直接的技术控制,而是需要应用于网络、系统、设备和应用程序的过程控制。
定期备份(定期将有价值的信息备份到安全位置)通常也依赖于建立正确的流程 - 这通常是一个关键流程,可以在成功攻击发生时恢复计算机系统。
无论应用的控制主要是技术性的还是主要依赖人力的,案例研究都表明,导致加大对网络攻击的易受性的从未是孤立的技术失效。
因此,智能安全协调软件越来越多地用于网络防御。
安全协调软件旨在汇集不同安全控制状态的更全面图景。然而,重要的是要注意,就像在地图上放大和缩小一样,有许多不同级别的协调可用。
一个协调企业整体安全位置的绝佳方法是通过一个集中的、全面的治理、风险管理和合规系统。在最高层次上,企业的治理、风险和合规系统旨在汇集以下内容:
- 治理信息 - 是企业执行层用来确保组织在可接受范围内运作的全部政策、程序和具体控制。这包括直接的安全政策、程序和控制,以及间接的法规,也可以影响或影响安全。
- 合规信息 - 是由用于识别安全差距并验证是否遵循治理法规的流程产生的数据。
- 风险信息 - 涉及可能对组织产生重大和实质性影响的任何事物。这些数据可以来自多个来源,包括已经确定的合规性差距,以及新的威胁(如法规变化或新类型的利用)。
尽管收集和同步这些最高级别的信息是创建整体安全位置的最佳方法,但它依赖于从更细粒度的安全协调软件的信息来源获取信息。细粒度的来源可以包括漏洞评估、渗透测试、审核、事件和其他关于潜在差距和威胁的信息来源的结果,
网络运营中心经常汇集有关信息流量和入侵尝试的信息。
反恶意软件协调套件可以监视资产,确保它们的个体反恶意软件软件正常运行,更新并收集有关尝试感染率的信息。
纠正和预防措施系统可以通过监测、管理和监控已识别的问题直至解决来操作。通常,这些行动没有被有效地分析以识别重复模式,这可以实现更有效的纠正措施。
有超过 30 种不同的安全控制流程可以聚合信息。然而,如果它们只是将信息聚合在孤立的信息库中,而无法理解它们之间的关系,那么理解真正需要优先考虑的内容的机会就会丧失。
如果我们看一下案例研究,通常是无法理解真正的全局图景最有可能产生足够的差距,以允许重大的网络安全漏洞。由于防御层层叠加技术,单个漏洞本身不太可能导致重大损失。
在我们进一步研究更多防御方法之前,我们应该考虑攻击本身是如何演变的。
不断进化的攻击方法
在过去几年里,网络攻击已经越来越多地涉及三个趋势:
- 勒索软件使用的大规模增加
- 捕获和重新使用有效的用户和密码访问信息
- 分布式拒绝服务(DDoS)攻击
勒索软件
近年来最显著的变化是勒索软件的惊人激增。如前所述,这是一种旨在通过锁定或加密个人或组织文件和/或设备直接从目标处获取资金,并只在支付赎金后才释放它们的方法。
当然,如果您运行正确的安全软件,或者甚至在外部位置充分备份信息,勒索软件就不会有效。然而,大多数人和组织缺乏这些基本防御措施。
加密货币使勒索软件得以实现,这是一种匿名支付形式,允许资金在没有简单识别接收方的情况下转移。
网络犯罪分子不再必须依靠将窃取的信息转售给其他犯罪分子从网络犯罪中获利。从勒索软件中轻松获利的方式推动了犯罪分子以这种方式瞄准私人个人和小企业的大幅增加。事实上,在大多数国家,网络犯罪现在是最多产的犯罪形式。
过去大多数网络攻击依赖通过电子邮件传播恶意软件或鼓励目标将未知应用程序下载到设备上。这也是勒索软件进入数字设备的方式。
最早使用的(并仍在使用的)技术之一被称为网络钓鱼。
网络钓鱼 – 利用电子通信(例如电子邮件或即时通讯)假装来自合法来源,试图从收件人那里获取敏感信息(例如,密码或信用卡号)或在收件人设备上安装恶意软件。网络钓鱼的方法已经发展,以至于消息可以简单地包含指向恶意软件所在的互联网位置的链接,或者可以包含一个附件(例如 PDF 或 Word 文档),在打开时安装恶意软件。恶意软件随后可用于运行任意数量的未经授权功能,包括从设备中窃取信息,将额外的恶意软件复制到其他可访问位置,共享用户屏幕,记录用户输入的键盘记录或在勒索软件攻击中锁定访问权限。网络钓鱼的较简单形式可以鼓励收件人访问一个虚假但令人信服的网站,并透露密码或其他详细信息。 |
---|
这种技术的进化版本被称为鱼叉式网络钓鱼。
鱼叉式网络钓鱼 – 一种更具针对性的网络钓鱼形式。这个术语描述了利用电子通信(例如,电子邮件或即时通讯)针对特定人或人群(例如,某个地点的员工)并假装来自合法来源的行为。在这种情况下,发送方还可能假装是收件人认识和信任的某人,试图获取敏感信息(例如,密码或信用卡号)。 |
---|
恶意软件,如勒索软件,也可能仅仅通过点击一个互联网链接而无意中被下载。即使用户没有在设备上安装软件的权限,恶意软件有时也可以规避此控制而进行安装。
为了增加成功的机会,攻击者通常利用主要的社交媒体网站和流行的网络服务。Facebook、Twitter、Ebay 和其他网站都可以携带用户插入的链接。如果攻击者使链接足够有趣,以诱使受害者点击它,这将允许恶意软件潜在地获得立足点。
另一个问题是,有时这些社交媒体和网络服务网站不能被阻止,因为至少一些业务功能需要这些工具与客户进行沟通或连接。
这些网站还使用安全的加密协议,如 SSL,防止其内容被拦截。这些协议使得通常使用的安全设备在发送或接收信息时难以检测或阻止包括恶意软件在内的信息。
SSL - 是安全套接字层的缩写。这是一种在数字景观中为两个点提供加密通信的方法(协议)。例如,这可能是一个网页服务器(托管网络服务或网站的计算机)和一个网络浏览器(接收者用于查看网页的程序;例如,Internet Explorer)之间的通信。在 URL(用户可见的互联网地址)中,使用 SSL 通过一个‘https:’前缀表示。 |
---|
文件共享和即时通讯服务也可能以相同的方式被利用。
这种攻击形式被称为驱动下载。
驱动下载 - 通过互联网页面、电子服务或链接无意中接收到恶意软件到设备上的过程。受害者通常不知道自己的行为允许新的恶意软件被拉到并安装到数字设备或网络中。 |
---|
攻击者使得捍卫数字景观变得越来越困难的另一种方式是定制他们的恶意软件。
许多组织和个人继续使用过时且无效的反恶意软件。如果此软件仅依赖于识别签名(威胁的特征),攻击者只需定制恶意软件即可逃避检测。现在,即使没有编程知识,使用预打包软件程序也可以简单地定制或调整恶意软件,使其签名与反恶意软件通常识别的签名足够不同。这样可以防止攻击被立即检测到,因为在新的恶意软件版本被发现、隔离、提交给反恶意软件专家、解密和分析之前,签名型反恶意软件程序不会添加更新的防御。根据定制的恶意软件的异常程度(不寻常和罕见),创建新的防御可能需要数月或数年时间——由于新的恶意软件数量庞大(估计每天有超过五十万个新变种),可能无法及时更新较旧的反恶意软件形式,以便为其提供可行的防御。
增加了这个问题的是,许多恶意软件能够在安装后适应性地改变以更有效地逃避反恶意软件。这种反恶意软件被称为多态恶意软件。
一些较新的下一代反恶意软件没有这个缺陷,可以检测和阻止超过 99%的更复杂的恶意软件威胁。然而,截至 2017 年初,许多企业使用的反恶意软件错过的恶意软件比检测到并处理的恶意软件还要多。
多态恶意软件——能够改变其属性以帮助避免被反恶意软件检测到的恶意软件。这种突变过程可以自动化,使软件的功能继续,但操作方法、位置和其他属性可能会改变。参见变形恶意软件。 |
---|
密码攻击
过多的计算机系统和在线服务仅通过用户名和密码组合进行控制,这增加了不安全因素。此外,几乎每个服务都需要其独特的用户名和密码。这导致大多数计算机用户需要拥有数十甚至数百个不同的用户名和密码。
然而,许多人并非为每个在线账户使用不同的密码和用户名,而是遵循重复使用相同密码的不安全做法。
加剧这一问题的是,主要在线站点的安全漏洞,包括 LinkedIn、Yahoo 等,在黑市上公开出售了数十亿个用户名和密码组合。
这意味着犯罪分子不再需要破解密码,而是可以轻松地处理长长的历史用户名和密码列表,将它们输入自动化软件中,以检查它们是否适用于成千上万个不同的在线服务。
更糟糕的是,犯罪团伙还想出了使用统计数据来规避许多阻止密码“猜测”的密码安全措施的方法。如果他们尝试在一个站点上多次猜测密码,这些尝试可能会被阻止。然而,如果他们从多个位置工作,并且在数千个服务上分布他们的猜测,尝试几乎不可能被检测到。
这导致大多数主要在线服务为其访问安全性增加了更多层次。您可能会注意到,这可能采取重新输入密码和屏幕上显示的唯一代码的要求的形式,或者您可能需要接收一条提供必须输入以确认登录人员确实是帐户持有者的代码的短信或电子邮件。
一些组织过去曾责怪帐户用户由于使用有效的用户名和密码而导致的金钱或信息被盗,但调查已经证明这不再是一个有效的防御。例如,使用僵尸网络进行的分布式机器人密码攻击可以从数千个位置的数千个攻击尝试中尝试数千个密码,这些尝试通过正常手段几乎无法检测到。大多数尝试将失败-但足够多的尝试会成功,使攻击者的这种方法值得一试。
访问系统实际上需要更多的验证手段,不仅仅是用户名和密码。
安全专家还发现,以前推荐的加强密码的技术往往产生相反的效果。例如,使用 4 或 5 个小写字母的随机单词链比包含数字、特殊字符和大写字母组合的 8 个字符密码要难破千倍。
这些 8 字符密码类型相对容易破解,因为密码破解软件已经了解到人类密码模式。例如,密码猜测软件可以假定第一个字符是大写字母,最后一个字符很可能是特殊字符或数字集合。
DDoS(分布式拒绝服务)
通过发送大量不需要的流量来中断网络连接或在线服务的分布式拒绝服务技术已经被使用多年。然而,最近发生了变化的是,发动 DDoS 攻击现在变得很容易,并且可以发送的破坏性流量量大大增加。
这是因为计算机和智能手机曾经几乎是唯一连接到互联网的设备,现在有数十亿其他低成本设备连接到互联网。大多数这些设备的安全性较弱,因此犯罪分子很容易用恶意软件感染它们。在 2017 年初,据估计,大约 80%的“智能”设备实际上具有薄弱和易受攻击的安全性。
现在,网络攻击者相对容易地招募数百万这些安全性较弱的设备,然后利用它们发动大规模的 DDoS 攻击,这在几年前是不可想象的规模。
其他不断发展的攻击方法
另一个重要但经常被忽视的妥协领域是大多数硬件设备上存在 USB 连接端口。
许多形式的数据丢失预防安全程序和硬件配置试图禁用或限制对这些端口的访问;然而,带有恶意内容的硬件通常被设计用来规避安全措施。例如,USB 连接可能仅限于键盘和鼠标,但一块恶意硬件可能被编程成类似键盘或鼠标。它可能在外观上看起来像一个鼠标,但除了这个功能外,它还可能包含恶意软件或内存,以帮助进行攻击。
直接物理连接(例如通过 USB 连接)到已经在网络内部具有访问权限的设备,将会位于几层安全层之外,因为它可以利用已连接设备的现有访问权限。
这种类型的攻击确实需要对设备进行物理访问,但这可以通过一个恶意内部人员故意连接感染的 USB 设备到联网计算机,或者通过一个有意或无意使用被一个秘密攻击者给予的感染设备的目标员工或供应商来实现。
有关感染恶意软件的 USB 设备普遍性的统计数据根据不同研究人员使用的样本而有所不同,但研究表明,所有 USB 设备中有相当数量携带恶意软件。
每当你查看网络安全统计数据时,一定要验证其有效性。它有多新?传达信息的人或团体是否试图推销某种产品(可能存在偏见)?
许多网络犯罪利用了所谓的暗网。
暗网 - 隐藏其服务器位置的网站。虽然公开可访问,但它们不在标准搜索引擎上注册,并且隐藏的服务器值使得极其困难确定这些网站背后的组织和人员。 |
---|
暗网地点被用于各种非法活动。当软件中的新漏洞被公布时,用于利用该问题的攻击工具包通常在暗网上在 24 小时内可用。暗网也用于出售窃取的数据,为服务中断付费(DDoS 攻击作为一种服务)并交换其他非法形式的信息。使用暗网的犯罪分子还使用各种加密和隐私软件工具来帮助隐藏其用户详细信息。
值得考虑的最终新兴攻击趋势是移动计算的规模和持续增长。已有一半以上的互联网流量使用某种形式的移动设备进行处理。与传统计算机或笔记本电脑不同,移动设备和其他互联网连接设备的持续增加使得这些设备成为网络犯罪分子越来越受欢迎的目标。
不断发展的防御方法
鉴于攻击的规模和复杂性,似乎几乎不可能创建有效的防御。然而,这并不是真的。
随着攻击变得更加复杂,防御措施也在加强。正在发生的主要变化是防御策略现在越来越多地被结合并放置在更多的位置。
例如,移动设备的增加使用意味着一种被称为移动设备管理的安全技术已成为大型企业管理员工使用的平板电脑和智能手机资产的标准。
移动设备管理(MDM) - 用于安全控制诸如平板电脑和智能手机等移动设备操作和使用的技术。能够(例如)远程擦除移动设备上的信息并控制允许安装或运行哪些应用程序和功能。 |
---|
正如已经讨论的那样,仅使用密码已不再被视为任何安全设备的足够访问控制。多因素身份验证正变得越来越成为一种必需的标准,而不仅仅是一种高安全性选项。
多因素身份验证 - 使用多种形式的证据来确认试图请求访问的个人或设备的身份。通常有三种不同的认证类型:(i)你知道的东西[通常是密码](ii)你拥有的东西[也许是安全令牌或访问卡]和(iii)你是的东西[使用生物识别技术;例如指纹或面部识别]。例如,有效的双因素身份验证将要求在请求访问时,至少需要来自两个不同类别的证明。 |
---|
在安全技术中可能最重要的改进之一是使用被称为机器学习的东西来帮助检测和击败攻击。与必须明确识别和阻止已知威胁不同,许多技术(包括最新形式的反恶意软件(通常称为下一代反恶意软件和一些类型的先进端点保护))能够根据每个文件和服务的操作方式智能识别和中和威胁。
而以前人们必须手动指示安全技术如何识别和中和威胁,机器学习程序可以理解计算机系统的常规和允许的行为,因此它们能够智能地了解、报告和阻止可疑的项目或事件。
还有一些技术陷阱可以设置来帮助捕获、追踪和起诉攻击者。蜜罐和蜜罐网络是网络安全专业人员使用的两种技术的例子,它们涉及设置虚假的数字区域,看起来像攻击面的敏感和有价值的部分,但实际上并不包含任何有价值的东西。事实上,这些陷阱是故意用来诱捕、识别和追踪潜在的攻击者及其恶意软件的。
蜜罐 - 一种电子设备或数据集,旨在通过检测、偏转或以其他方式对抗攻击者的努力来诱捕潜在的攻击者。设计成看起来像企业攻击面的真实部分,蜜罐不包含对攻击者有真正价值的内容,但包含识别、隔离和追踪任何入侵的工具。蜜罐网络 - 一组蜜罐的集合,它们共同运作以帮助构成网络入侵检测策略的一部分。 |
---|
网络记录是许多大型组织正在使用的另一个较新的工具。这允许在攻击结束后重放数周或数月的网络事务,以帮助追踪和识别攻击的性质。
有一些非技术策略也可以显著降低攻击的可能性。
其中一种策略涉及数据保留和销毁。尽管收集大量信息有时可能是有利的,但个人和组织通常会在其网络中保留大量的信息,这些信息的价值有限或较低。这主要是因为数据存储的成本较低,以及保留信息比丢弃信息更明智的看法。然而,保留信息通常是有害的。
实施考虑安全成本作为整体业务策略的一部分的深思熟虑的数据保留和销毁政策可以确保数据只在保持其可证明性时才被保持为活动和可用状态。
电子邮件是这一原则的一个很好的例子。当律师处理案件时,找到表明不当行为的单个通信比重新组装证明相反的完整结构化数据集更容易。如果员工和其他电子邮件系统用户了解到他们的通信在例如 3 个月后将被自动删除,除非特别存储到存档系统中,那么风险曝光就会降低。
同样,即使有法律或业务要求保留信息存储,也很重要确定是否需要活动存储或离线存储满足要求。
这些措施有助于减少攻击表面并集中安全工作。
如果考虑从莫萨克·丰塞卡(Mossack Fonseca)窃取的电子邮件,尽管他们使用的软件已过时且安全配置差,但攻击的成功主要源于他们选择在线保留多年的电子邮件。
减少攻击表面的另一种方法是创建高安全区域,为最敏感的数据增加更多的保护。就像策略可能管理高安全性站点的配置一样,可以强制要求高安全区域是否应该是封闭系统,或者是否所有入站和出站流量都必须完全解密和检查。
封闭系统 - 一组仅具有相互通信能力的应用程序、系统和设备。不允许与已知和可信组外的任何组件连接。 |
---|
封闭系统经常用于制造线和飞机控制等领域。
最重要的是,所有管理或连接到具有价值的信息或服务的技术都必须通过设计嵌入安全性。仅在网络上部署安全性会错过一半以上的潜在漏洞。
即使是对云服务的配置或供应商系统的使用 - 任何连接或使用的技术都必须确保从最早的设计阶段到最终报废阶段都包含适当的安全性要求和测试。
总之,可以创建高效的防御措施来抵御攻击。
- 在组织中实施这些防御措施最关键的因素是获得执行(董事会级别)对安全正确投资的支持。这需要向执行层呈现组织风险曝光规模和范围的清晰图景。这将在第 12 和 13 章中详细介绍。
- 将攻击表面减少到满足公司业务需求的最小合适尺寸。
- 使用安全架构师帮助简化网络防御点的范围。
- 对信息进行分类,以确定哪些数据集需要最大程度的安全控制。
- 将攻击面划分为反映其传输的信息价值和敏感性的离散段。对最高价值区域应用最严格的安全措施。
- 删除或销毁没有意义或价值低的数据。
- 在所有携带、存储或交易您信息的设备上使用最新的“下一代”防恶意软件。
- 确保您具有强大的用户访问控制,其工作原理是根据提供用户所需最低特权来执行其角色。
- 确保访问控制需要更多的方式来验证用户身份,而不仅仅是用户名和密码。
- 及时为所有设备和操作系统打补丁,使用来自制造商的最新安全更新。
- 部署其他关键的技术对策,如具有强有力政策的高级防火墙到关键位置。
- 确保所有应用程序、系统和物理设备的安全设置都设置为适当的高级别,并删除所有默认帐户。
- 教育您的用户进行良好的安全实践,包括密码管理以及如何识别可疑的电子邮件和附件。
- 确保所有为使用而构建或配置的技术在其生命周期中都包含并测试了安全要求。
记住,防御深度需要对安全性进行全面的审视。物理安全、程序控制和文化条件是最重要和最成功的攻击的关键因素。
只有具有全面了解的组织才能防止重大攻击。
创建有效的组织防御的主要挑战在于保证在必要的技术和措施上获得足够的投资。获得这种投资需要建立一个有效的商业案例(对费用的证明)。随着导致巨额损失的成功攻击数量不断登上头条新闻,改善电子设备及其数据安全的价值相对容易证明。
电子设备及其信息的有效安全需要一个昂贵而广泛的方法,这一方法在董事会层面得到了支持。
无效的安全性甚至更加昂贵。在安全性投资不足的情况下,实际上经常导致了对于对其组织允许承担的网络风险了解不足的主要董事会成员的解雇。
十、案例研究 - 索尼(2014)
组织: | 索尼 |
---|---|
违规日期: | 未知至未知 |
发现日期: | 2014 年 11 月 24 日 |
披露日期: | 2014 年 11 月 24 日 |
违规性质: | 敏感电子邮件、未发布的电影、员工数据,… |
违规规模: | 据信超过 100 太字节。 |
影响: | 估计超过 300 百万美元 |
摘要:
作为一个高度依赖技术的大型公司,索尼过去经常成为网络攻击的目标。
为了为他们多样化的部门提供灵活性,索尼对其系统的安全采取了灵活的方法,允许每个公司组实施和管理各自所需的内容,同时还有一些跨所有部门运作的整体安全系统。
这种方法的优势在于允许不同部门整合新技术,以帮助扩展和交付产品,以满足客户需求,从而增加收入。
这种策略可以运作良好,但相比自上而下的安全执行,运营成本要高得多。在为每个部门单独运行安全性时,了解每个部分的责任和边界至关重要。必须有足够的资金,并且必须足够以允许每个部门管理安全的全面方法,包括我们在本书中探讨的所有组成部分。
2014 年 11 月 21 日星期五,索尼的少数高管电子邮件账户收到了一个自称为“上帝使徒”的团体的通讯,要求支付金钱赔偿以防止索尼“被整体轰炸”。据报道,收件人忽视或将此通讯视为垃圾邮件。
2014 年 11 月 24 日星期一,索尼影视娱乐公司,索尼公司的一个部门,发现他们的大量系统遭到入侵。已经有大量数据被窃取,并且一些关键服务无法运行。此时,确切的原因和渗透点尚不清楚。
首次有关攻击被检测到的报告出现在索尼影视娱乐公司位于加利福尼亚州卡尔弗城的总部的员工计算机屏幕上,屏幕上闪烁着黑客的消息。消息中包含黑客收集的一些被盗数据的链接。此时,攻击者自称为“和平卫士”。
同一天,有关违规的信息迅速传播到社交媒体上。一些被盗的数据已经发布在网上,媒体开始审查内容。
攻击的程度以及识别攻击方法所需的时间对索尼的即时运营产生了重大影响。事实上,据称全球范围内的索尼员工在许多天内继续工作,却无法使用他们的计算机、电子邮件或语音信箱。
在接下来的几周里,越来越多的被盗数据被发布在线,同时攻击者发出威胁和要求。
这次泄露的程度是巨大的。在线发布的数据包括:
- 高管的整个电子邮件档案。
- 一些员工的信息,包括工资信息和社会安全号码。
- 未发布的电影。
- 公司财务信息。
- …
攻击者泄露的信息类型列表将填满几页。攻击者(和平卫士)最初(同一个月)透露他们设法获取了 12TB 的信息。
据显示,黑客使用的恶意软件在攻击被检测到后仍然继续运作一段时间。最终评估显示黑客窃取的数据量超过 100TB。为了让这个数字更具体,整个美国国会图书馆的数字化格式只有这个大小的 10%。
这些信息持续泄露表明恶意软件是多态的(如前一章所述),当时无法用现有的反恶意软件软件阻止或隔离。因此,尽管索尼的安全团队试图隔离或清除被盗的数据,但这些尝试都失败了。
其他已经部署的安全措施,如应急情况下应该关闭系统的防火墙,也未能立即阻止或防止信息的持续泄露。这表明恶意软件绕过了这些防御措施,同时也规避了反恶意软件软件。
被盗信息的敏感级别是混合的,相对无关紧要的数据经常存在于高度敏感信息的小部分旁边。
指示表明这次攻击是出于政治动机,原因是即将发布一部名为《采访》的电影,据称冒犯了朝鲜政府。
索尼聘请外部安全公司协助阻止和清除泄露的数据,并帮助恢复内部系统和服务。这次攻击的规模也促使美国政府机构提供援助。
在 12 月 19 日,美国计算机应急响应小组发布了关于一种新型破坏性恶意软件的信息,该软件最近被用来攻击一家主要媒体公司。
https://www.us-cert.gov/ncas/alerts/TA14-353A
对恶意软件的分析确认其能够监听、访问、指挥和破坏感染设备上的信息。分析人员将这种恶意软件描述为蠕虫。
蠕虫 - 一种恶意软件,旨在寻找其他可以复制的位置。这有助于保护恶意软件免受清除,并增加受攻击面积。 |
---|
它通过利用一种称为服务器消息块(SMB)的标准文件共享协议来运作。因为这种蠕虫也可以删除信息,所以它也被称为“擦除者”。这种方法已经在其他攻击中使用过,而且有一些补丁可以帮助解决这个漏洞。
在撰写本书时,财务影响,包括收入损失、业务中断、补救成本和赔偿支付仍在持续。这些成本预计将达到数亿美元,甚至更多。
这次攻击的规模、程度和影响完全超出了索尼当时所拥有的网络安全能力。
根本原因分析:
索尼网络安全团队从未充分考虑或准备好可能影响索尼本身或索尼影业部门的这种规模的攻击。
当索尼影业制作了一部冒犯了一个与世隔绝、敏感和反应迅速的国家的电影时,索尼将一个实质性和强大的对手添加到了对其系统感兴趣的攻击者名单中。
与其他攻击不同,其动机通常与金钱有关,国家赞助的攻击通常包含非常不同的目标。
一个充分的网络安全防御策略的基础在于告知公司高管风险的程度,并确保对暴露水平的整体理解存在。
根据渗透的程度和造成的损害,很明显一个关键的根本原因是防御层中存在大量的漏洞。总的来说,被窃取的数据量表明网络和设备级别的数据丢失预防工具被绕过或缺失;无论哪种情况,这些工具都被证明是无效的。
尽管当时几乎不可能完全保护系统免受使用多态恶意软件的攻击,但这种恶意软件本身主要利用已知的漏洞,而这些漏洞的保护措施已经存在。这意味着,尽管使用多态恶意软件的攻击可能造成损害,但当所有其他安全措施有效运行时,其规模和影响可以大大减少。
正如我们在上一章中所讨论的,建立坚固、多层次的防御措施是昂贵的,根据攻击方法的演变定期更新网络防御也是昂贵的。但这种类型的攻击揭示了一个事实,即不投资于全面、经常更新的防御措施可能会比强大、适应性强的多层次防御成本更高。
尽管有关索尼遭受的攻击是否真的是由朝鲜发起的的猜测一直在持续,但一些关键事实表明了这一点。
用于渗透索尼的软件类型,尽管经过修改以帮助其规避反恶意软件,但与 2013 年 3 月对韩国发动的早期攻击中使用的软件非常相似。那次攻击也被归因于朝鲜。
此外,‘和平卫士’已经渗透并复制了索尼未发布的电影,并将这些电影发布到了网络上,除了《采访》这部电影——这部电影冒犯了朝鲜政府。
最初的渗透被追溯到泰国曼谷瑞吉酒店。
分析人员还发现,恶意软件可能在被攻击日期之前就存在于索尼系统中,并且在攻击被揭露之前一段时间内一直未被发现。这些证据支持了这样的观察结果:在不到几个月的时间内收集和窃取如此大量的数据是非常困难的。
使用了已知一段时间的漏洞利用技术,并且如果索尼安装了软件制造商提供的补丁(更新),他们的系统就可以抵抗这些‘已知’的漏洞利用。
一旦发现攻击正在进行中,公司似乎无法迅速更新其入侵检测和预防例程以阻止攻击。这进一步支持了这样的论点:不定期安装更新在增加索尼面对这种规模攻击的脆弱性方面起到了重要作用。
分析人员还发现,至少对于电子邮件系统来说,索尼的记录保留和销毁程序要么不存在,要么极其不足。自动在特定有限时间后删除和销毁电子邮件,除非明确指定保留,否则会大大减少数据暴露的影响。
换句话说,由于补丁管理和记录保留和销毁政策的不足,攻击面的大小和敏感性比必要的要大且更易受攻击。
此外,攻击者能够在非敏感数据旁边找到一些敏感数据。这表明信息分类流程并未完全建立。敏感信息与非敏感数据的分离和比非敏感数据更高的安全措施并不一致。
有人推测攻击的另一个根本原因涉及到不满的前雇员利用内部信息。这一指控的部分理由是,如果攻击者合理地了解了索尼系统、网络位置和易受攻击点,就可以更合理地解释损害和渗透的程度,以帮助他们制定攻击策略。
数据泄露的最终根本原因之一是所有良好安全性的一个关键特征:单一责任制。
单一责任点(SPA 或 SPOA)- 所有关键资产、流程和行动必须具有明确的所有权,并可追溯到单一责任人的原则。理由是,未定义单一所有者是流程或资产保护失败的常见原因。共同所有权被视为重要的安全漏洞,因为一般情况下,当有多个人负责时,安全漏洞持续存在的可能性增加。 |
---|
在本书的开头,我提出了这样一句话:“从来没有人为了表彰一个委员会而建立雕像。” 采用分部门的安全方法是可行的,但需要明确和可追溯的单一责任点责任线。如果每个人都负责,通常没有人会被追究责任。谁最终对索尼的安全负责?是分部门层面的高管,还是公司层面的高管?
这些类型的责任不明确的政策导致在面对灵活和快速移动的攻击者时反应迟缓且不足。每个组织都必须采取反映其信息价值和可能遇到的攻击者类型的安全姿态。
总的来说,索尼没有建立起足够规模的深度防御安全控制措施来应对已经发生的威胁。他们没有充分预见或准备可能对他们造成如此规模影响的攻击。
十一、网络安全冷战
目前正在进行一场战争。每天都有数以亿计的尝试未经授权地访问数字设备和账户。特别是通过黑客事件和泄露的被窃邮件的曝光,这一点尤为突出,据称是为了影响 2016 年美国总统选举。
一些网络攻击是机会主义的,而一些是有针对性的,但它们都是出于对那些合法拥有这些资产的组织和个人的政治或经济利益的欲望。
攻击尝试的数量增加和后果的成本是令人担忧的原因,也是推动提高网络安全和网络防御水平的强大动力因素。
与任何战争一样,战略家需要了解他们的敌人。哪些组织和人想要针对不同的数字景观,他们的目标是什么,他们有多复杂以及他们如何操作?
网络攻击者(有时也称为威胁行为者)主要分为 8 组:
- 国家
- 恐怖主义组织
- 组织犯罪团伙
- 黑客活动社区(黑客主义)
- 有技能的专业黑客
- 不满或机会主义的内部人员
- 业余黑客和记者
- 任何人
每个组织的威胁景观都是不同的。根据您或您的组织的活动,您可能会成为这些组中一个或多个更或少有吸引力的目标。
黑客主义——黑客和活动主义的合并。描述未经授权地访问任何数字设备或数字景观以促进社会或政治议程的行为。通常未经授权的访问用于造成破坏、干扰和/或公众关注。参与这些行为的个人被称为黑客活动者。黑客活动者——黑客和活动主义者两个词的合并。描述参与黑客活动的任何个人。威胁景观——威胁和景观两个词的合并。一个总称,用于描述组织或个人可能期望被攻击的整体预期方法(向量)和类型的网络攻击者。 |
---|
您的数字存在的规模、范围和公众形象也将是确定谁攻击您以及攻击频率的关键因素之一。
2017 年,大多数家庭网络安全仍然非常差。这将很快改变。
网络攻击者从任何网络攻击中获利所需的努力和复杂程度迅速降低。随着所需努力的减少,越来越多的家庭易受攻击并意识到需要投资更高水平的网络安全。
随着将越来越多的日常家庭和其他常规电子产品连接到一起的趋势增长,攻击私人住宅的吸引力也会增加。这被称为物联网。
物联网(IoT) - 将电子设备纳入日常物品中,使它们能够与其他网络设备进行网络通信。 |
---|
成功的网络攻击的主要问题之一是,与身体上的战斗不同,攻击者不需要具备显著的规模或复杂性就能造成巨大的破坏。即使是发动攻击的群体庞大且有组织,造成毁灭性攻击所需的人员数量也可能只有一个。
任何网络犯罪的成本回报比都非常高,以至于许多组织都在大量投资于增加他们的技能和工具库,以利用他人对技术的依赖来谋求自己的利益。
另一个重要因素是,任何具有相对较少知识的人都可以轻松下载并使用用于网络攻击的工具。黑客不再需要具备编程技能;他们可以简单地使用这些广泛可用且通常免费的现成工具。
我们现在将更仔细地观察每个进行网络攻击的群体,以更好地了解他们的动机和目标。
国家
各国一直在进行间谍活动。现代技术将间谍活动提升到了一个新的水平。
前东德可能拥有有史以来最完善的内部间谍网络。官方统计数据显示,他们的秘密警察,称为“斯塔西”,大约有每 20 名成年公民中就有 1 名是员工或线人。我曾与一名前斯塔西线人进行过交谈。他认为这个数字实际上远高于每 20 人中的 1 人;可能高达每 5 人中的 1 人。
在数字技术出现之前,监视大量人员活动需要大量的精力和非常庞大的财务投资。在斯塔西的情况下,估计有约 274,000 人员在其工资单上。
现代技术使类似的活动可以以更低的成本进行管理。不再需要大量人员来监视其他人的通信。技术可以被编程成‘监视’所有口头或书面通信,并在使用特定词语或短语,或特定人进行通信时引发警报或提醒。
大规模监视主要集中在情报收集上。来自主权国家的更大威胁是它们更可能完全渗透并利用其他国家的关键信息或基础设施。
国家赞助的网络攻击的动机可以概括如下:
- 获取情报以防范攻击并施加影响。
- 窃取知识产权以了解敌方能力并利用该信息获取国内政治或金融利益。
- 能够通过其数字化环境对任何外国或国内敌人施加控制的能力。例如,通过能够远程禁用关键的敌方技术和服务。
最后一项激励清单的一个例子发生在 2016 年美国总统选举期间,当时美国亲身经历了利用窃取的信息对选举结果施加影响。
根据美国安全界的消息来源,拥有最高网络战能力的国家有:
1.) 美国和赛里斯并列第一。
赛里斯拥有巨大的网络情报和渗透能力。这些能力倾向于被动地用于收集信息和窃取知识产权。赛里斯不倾向于使用破坏性技术;然而,这使得其入侵更难以检测,并导致其通过网络渗透造成突然而巨大的损害的能力远远超过其他任何国家。
美国也具有相当大的渗透能力,另一方面,它也有成为地球上遭受网络攻击最多的国家的荣耀。结果,美国已经发展出了可能是世界上最好的防御性网络战略。
作为美国网络战能力的一个例子,在 2015 年初,安全分析人员发现了一种新型恶意软件,由一个名为“方程式”的黑客组织使用(据称该组织与美国国家安全局有关)。这种恶意软件渗透到许多主要硬盘品牌的低级编程中。该方法是如此先进,以至于当时传统的反恶意软件甚至完全重新格式化驱动器也无法将其移除。然而,该恶意软件仅在与美国政府利益相关的特定机构的数字系统中被发现。
俄罗斯
近年来,俄罗斯加大了对网络情报的关注。与赛里斯使用的技术不同,据称俄罗斯的渗透技术倾向于故意更加显眼。这些技术更容易识别,但更昂贵。俄罗斯还是“混合战争”的领先倡导者,在这种战争中,网络攻击与其他颠覆性技术结合起来,以增加俄罗斯的权力和领土优势,而以其他国家的安全为代价。美国 2016 年的选举活动不是俄罗斯首次或最后一次据称使用此策略。俄罗斯标准战略的一个方面包括对任何“信息”产生足够的怀疑和混淆,以至于一切的有效性都受到质疑。这通常是通过将合法信息称为虚假信息,将虚假信息称为“假新闻”来实现的。随后的公众混淆可以在政府和公民中产生和利用偏见,以实现行凶者的政治目标。
以色列、英国和法国位居第四。
朝鲜也值得一提。尽管其互联网接入非常有限,但政府已经意识到通过有效的网络渗透技术可以施加多大的权力和影响力。2014 年底的索尼网络安全漏洞就是一个很好的例子。
很难获得关于国家支持的网络战规模的可靠信息。出于明显的原因,攻击和防御国家都不希望透露他们做了什么或知道什么。
明显的是,全球各国正在花费大量时间和金钱来加强其防御和进攻能力。
同盟国之间也越来越多地展开合作,分享有关新兴威胁的信息。
政府不仅将精力集中在其他国家,还会渗透对他们有用的重要组织。谷歌、微软、苹果、人道主义组织、基础设施服务甚至主要银行都必须保护其系统免受一些国家的入侵。
许多国家‘雇员’并不排斥从他们的网络侦查活动中赚钱作为其次要收益。这些个人可能会找到对他们工作的国家无用的信息,但如果他们可以在另一个市场上从中赚钱,他们很可能会这样做。
恐怖组织
恐怖组织在进行网络攻击时有三个主要动机:
- 筹集资金。
- 对敌人造成负面影响。
- 提高他们的知名度。
对这些团体具有吸引力的一点是,这些攻击有可能造成大量损害,使用相对较少的资源。恐怖组织只需找到一个网络弱点就能成功。相反,他们的敌人必须在更广泛的领土上维持网络防御。
尽管一些恐怖分子可能试图将自己描绘成黑客主义团体,但存在关键的行为差异。恐怖组织,尽管可能有政治目标,但使用有组织的、非法的、破坏性的方法来实现他们的目标。运行欺诈骗取人们和其他机构以获得财务收益是这些团体的主要收入来源之一。
有组织犯罪团伙
任何有组织犯罪团伙背后的动机非常明确。金钱。
这种财务收益可以直接或间接实现。窃取和再利用信用卡信息,或者访问银行系统并转移资金,是用于获得财务收益的直接方法的例子。获取可用于勒索或其他形式的敲诈的信息是间接但仍然有效的获得财务收益的方法的一个例子。
其他黑客也使用这些方法,但个人黑客使用的网络攻击和勒索技术与有组织犯罪团伙使用的技术之间存在关键区别:
有组织的犯罪团伙具有结构、规模和资金,能够发动更强大的攻击,并更快地利用他们获得的任何信息。如果一名独立的黑客获取了数百万个密码,那个人可能会试图在暗网上出售这些信息,但这个过程将向其他人(包括执法部门)显露问题,提醒受影响的方,从而减少对受害者和攻击者的财务损失。一个有组织的犯罪团伙可以更好地将数据货币化,而不会公开表明他们拥有它。这意味着他们有可能从中获得更多的利润。
黑客活动
黑客活动和恐怖主义之间存在着微妙的界限。两者都有政治目标。通常表现出黑客活动特征的三个主要因素是:
- 参与其中的人们相信他们正在为更大的利益服务。例如拯救地球或清除腐败的政府官员。
- 参与的个人不寻求从他们的活动中筹集资金。
- 黑客活动组织不会有意参与直接伤害人们或影响个人财务的犯罪活动。
任何不遵守这些界限的团体都是恐怖主义团体。
尽管存在这些界限,黑客活动仍然涉及犯罪行为。具体来说,他们仍旧旨在获取未经授权的访问或对其他组织的数字景观造成损害。
一个特定企业或组织所做工作的性质通常会影响它成为黑客活动组织目标的可能性。
熟练的专业黑客
这些是网络攻击世界的雇佣刺客。必须区分专业道德黑客和专业犯罪黑客之间的区别。
道德黑客(也被称为“白帽子”)由客户支付费用来揭示客户防御中的漏洞和弱点。
与只利用他们的技能来暴露(但不利用)网络防御中的技术漏洞的道德黑客不同,技术犯罪的熟练专业黑客(“黑帽子”)具有无道德标准的货币目标。专业犯罪黑客利用他们的才能来获取金钱利益,而不考虑法律。
专业黑客与最新技术和漏洞非常熟悉。就像任何网络安全专家一样,专业黑客可能仅专注于技术入侵,也可以利用各种技能,如社会工程学或其他攻击技术,与他或她的技术能力结合使用。
具有多种技能的独立职业黑客比仅依赖技术手段的黑客更危险。被组织雇佣来“红队”一个环境的独立职业黑客通常会知道如何摧毁该组织后离开。
失望或机会主义内部人员
任何组织或供应商内部系统访问权限的人员已经允许访问,这已经让他们通过了许多防御层。
拥有非常强大网络安全防御的企业可以通过始终监控和监督特权访问,将叛徒、犯罪分子或其他不满内部人员的滥用可能性降低到非常低的水平。当这些控制措施到位时,通常需要协作努力才能产生重大影响。
然而,有时,即使是获得了相对较少的信息,例如一封电子邮件,内部人员也可以利用它造成重大损害。
正如在人为因素章节中所述,进行雇前筛选和持续监测和评估可以帮助检测潜在的叛徒内部人员,但这些方法并非百分之百可靠。
一个不满的个人通常受到他或她可以对其感到不满的个人或企业造成的损害程度的激励。
另一方面,一个机会主义内部人员更有可能陷入这样一种情况,他或她相信可以在不被发现或失去职位的情况下获得经济利益。
举个例子,一家制药公司(不是我工作过的那家)发现了一种显示出很大潜力的新药物配方。当公司试图申请专利时,专利局发现这种药物已经在赛里斯生产和销售。调查人员发现,一名在赛里斯的信任员工窃取了配方的副本,并以几千美元的价格出售。尽管事实如此,这种药物无法再获得专利。小偷被判处很长时间的监禁,但制药公司损失了数亿美元的潜在收入。
防御这种攻击的主要方法是在企业内部培养一种强大、支持和积极的安全文化,并向员工和供应商提供这类行为后果的例子。还有必要确保任何敏感信息只能在适当的保护措施下访问或移除。
审计追踪、访问权限、数据丢失预防、电子邮件筛选工具、随机物理搜索、监督以及对工作场所摄像头使用的限制,都是可以用来阻止或预防这种行为的安全控制的例子。
一个企业如果有一种让员工和供应商感到疏远和不参与的文化,很可能会造成内部人员的不满,这些人具有内部访问权限。
类似地,一个不严格保护可能被利用谋取经济利益的敏感信息的企业,也很可能遭受由机会主义内部人员实施的网络安全漏洞。
这种威胁的一个主要问题是,内部人员并不一定需要具备任何网络攻击技能就能成功。
业余黑客和记者
一个我在这里不会透露名称的国家制作了一个非常复杂、有效的黑客工具,花费了数百万美元进行开发。然后,该国将其免费提供在互联网上下载。
为什么?简单的答案是——国家可以防御自己免受工具的影响,并且还可以让这个国家向其他黑客上传自己的恶意软件,并且确定这些黑客是谁。该国通过使用该软件的黑客活动获得了大量新的情报。
这是即使是最业余的黑客或记者也能获取非常复杂但完全免费的黑客工具的一种方式。
业余黑客带来的一个危险是,他们不一定会被防御措施所阻止,而这些措施会阻止专业人士发动攻击。如果专业黑客遇到一个防御措施,如果他或她攻破它可能会被抓到,那么这个黑客很可能会将其置之不理。尽管业余者的行动相对容易追踪,但他们的行为仍可能在意想不到的地方造成重大损害。
业余者也更有可能针对几乎任何东西,而不了解目标的价值或后果。记者可能采取更有针对性的方法,因为他们的动机是获取有新闻价值的信息。
任何人
发动网络攻击的便捷性意味着几乎任何人都可能成为施行者。研究网络攻击及其后果的组织认为导致这一现实的三个主要变化是:
- 要成功进行网络安全攻击,以前需要大量的专业知识和难以获得的专门工具。如今,任何人都可以使用(自带恶意软件的)软件尝试攻击,这些软件可以通过互联网免费下载。
- 成功的网络攻击所带来的成本和潜在价值呈指数级增长。
- 加密货币(比特币等)是一种可以隐藏收款人身份的在线支付形式。如果小心使用,它们可以帮助任何人实现匿名支付赎金或其他形式的勒索或收入。
尽管大多数造成严重破坏的网络安全漏洞都是由有技能或有组织的团体所犯下的,但任何有个人动机的个人都很容易参与这种类型的犯罪活动。
早在 2015 年,私人个体试图窃取信息或侵入组织或家庭防御措施相对较少。现在,免费工具的大量增加意味着这种攻击形式正在增加,特别是因为海外攻击目前极其难以监管和起诉。
每个企业或个人的威胁景观都是不同的。根据组织或个人的行为,不同的掠食性团体和个人可能试图利用他们的数字景观。
攻击数量和攻击的自动化程度是巨大的。不要低估正在发生的网络战争的程度。
新兴技术被采用和使用的速度意味着我们安全使用技术的能力总是落后于最新的威胁几步。有很多团体和个人已经准备好利用这些漏洞。
任何有效的网络安全的要宗旨是确保始终有一个全面的、多层次的防御策略在积极地运作,以保护数字化的环境。个人和组织更有可能在每一场战斗中生存下来,如果有多个、有效的防御层存在……而且这些层次需要延伸到网络边界之外,到信息流动的任何地方。
网络安全的设计和计划应始终包括对可能攻击数字化环境的组织和人员的了解,以及他们的运作方式,以及如何确保足够的保护措施已经就位。这种威胁情报分析通常是任何首席信息安全官定期执行的整体网络安全风险评估的一部分。
十二、基于风险的网络安全和堆叠风险
从所有案例研究中应明显的是,任何因网络安全严重违规而受到惩罚的组织都缺乏对他们所承担风险的清晰理解。这些组织明显承认他们缺乏对其活跃风险的联系和了解。
有效的网络安全管理依赖于准确捕捉和升级优先风险。如果重要问题或问题没有在个体层面得到一致捕捉,并在必要时得到适当升级,执行管理团队将在一个不知情的环境中运作,对真正的差距及其比较优先级没有概念。
在本章中,我们涵盖了:
- 什么是网络安全风险?
- 如何捕捉和管理个体风险?
- 如何处理测量、监控和管理风险集群:
- 风险登记
- 风险评估
- 如何应用基于风险的网络安全管理。
单独管理风险,虽然重要,但如果由于网络安全系统的缺陷而无法进行集体风险的概述,仍会产生问题。
当组织因入侵和数据丢失而遭受重大财务损失时,总是存在一系列独立且未解决的风险。我们将这称为堆叠风险,并将在本章的网络风险登记部分更详细地讨论这个主题。
堆叠风险 - 允许看似独立的潜在问题(风险)在同一数字领域中累积的现象。如果没有足够的识别和解决,个体风险可能形成一种有毒的问题积累,可以一起利用以创建一个远远大于个体组件所暗示的风险。巨型违规通常是堆叠风险与有动机的攻击者结合的结果。 |
---|
在我们探讨风险是什么之前,考虑人们在理解任何类型风险时所存在的一般问题和偏见是有用的。
考虑以下项目以及你认为它们对生命构成的威胁的相对大小,根据它们每年在北美造成的死亡人数:
- 自动售货机
- 棕熊袭击。
- 软玩具。
- 左撇子。
如果没有任何指标或分析,我们很容易对这些事物所带来的真正危险产生扭曲的印象。
实际上,每年在北美,自动售货机(当人们摇晃它们以取回松动物品时)造成的死亡人数比棕熊还要多。软玩具造成的死亡人数比棕熊或自动售货机还要多。据信,左撇子导致这些因素中死亡人数最多,因为左撇子使用为右撇子设计的设备时会发生事故。
(1991 年心理学家戴安·哈尔彭和斯坦利·科伦进行的一项备受争议的研究显示,左撇子和右撇子的寿命存在显著差异。后来,许多人对该研究提出了质疑,因为它似乎包含了一些统计异常。然而,基于其他研究,社会科学家和流行病学家一致认为,使用为右撇子设计的设备的左撇子确实会导致他们发生更多的事故。)
- 根据美国消费品安全委员会的数据,2012 年美国记录了 11 起与软玩具有关的死亡案件。
- 每年有两到三人因自动售货机事故在美国丧生。
- 每年北美地区平均有一人被棕熊杀死。
- 由于没有记录左撇子的死亡人数,所以对此无法得出结论。
这与网络安全有何关联?
在网络安全中也存在同样的问题;如果没有准确了解某些风险背后的数据,我们就可能会在安全工作和预算的重点方面犯错。
没有对风险的全面了解,作为一名网络安全经理,我可能会倾向于优先考虑在数据加密上的支出,因为它涵盖了大量潜在的攻击面。然而,如果我对问题有全面的可见性,并且了解某些对策的比较成本和收益,我可以轻松确定前二十个或更多的优先级更高、影响更大、成本更低的因素应该优先解决。
由于未解决的风险造成的损失最大,因此有必要全面而连贯地了解整体风险,以准确理解网络安全的优先事项应该在哪里。
当风险孤立呈现时,无法理解它们的比较优先级。
在我们讨论整体的、全面的观点之前,我们仍然需要了解捕捉和管理个别风险的基础知识。
什么是网络安全风险?
任何有可能对我们使用的电子设备或它们存储或交易的信息造成不利影响的事物都可以被视为网络安全风险。请记住,对网络环境的风险可以来自技术和非技术来源。
例如,如果一个组织存在着未能定期提供安全意识培训的问题,这仍然可能构成网络安全风险,因为这可能导致员工形成不良的使用习惯,进而促使更多的恶意软件攻击成功。
本书前面我们已经看过威胁、漏洞和其他空白。当这些因素有足够的发生概率并且有能力造成显著不利影响时,它们中的每一个都可能成为风险的来源。
这是因为风险的唯一两个关键因素是:
- 问题发生的概率(也称为潜在、可能性或机会)。
- 影响足以引起重视的程度。
衡量概率的方法有很多种。最有效的方法是确保所有可能性表达或发生某事的机会都被转化为百分比值。风险分配的初始概率百分比不需要完全正确也是不可能的或不必要的。这是因为随着对风险的信息增长,分配给每个风险的百分比值将越来越准确。
衡量影响的方法也有很多种。最有效的方法是将潜在中断的成本转化为反映以下两点的财务金额:(i)问题发生后修复或恢复的成本,以及(ii)问题可能给组织带来的总成本。
请记住,由于中断、收入损失或品牌损害给组织造成的成本往往对财务影响估计贡献最高。
在这两种情况下,如果没有数字值,就不可能以任何有意义的方式评估风险。这是因为记录和监控风险的人否则将无法以共同的标准比较风险。
例如,如果我有一个风险(风险 A)可能造成一百万美元的损失,另一个风险(风险 B)可能造成一千万美元的损失,它们可能都被认为是‘非常高’的影响,这取决于组织的规模和预算。只有通过具体的数字,我才能确定其中一个风险比另一个高十倍,因此更有可能成为更高优先级的解决方案。
风险管理者通常使用一个简单的数学公式来帮助确定优先事项。通过将风险的概率(%)与潜在影响($)相乘,我可以得出一个调整后的风险数值,可以帮助我确定风险的优先级。
- 风险 A 发生的概率为 75%,如果发生,成本为一百万美元。
0.75 x 1,000,000 = $0.75m
- 风险 B 发生的概率为 5%,如果发生,成本为一千万美元。
0.05 x 10,000,000 = $0.5m
尽管风险 B 可能具有更高的潜在财务影响,但通过结合概率,我们可以确定风险 A 更有可能发生的情况下,我们应该首先解决风险 A。
但是,还有第三个关键参数需要考虑:接近性。
接近性是一个时间度量,帮助评估我们预计风险何时会变得活跃和成问题。
例如,我们可能在六个月后推出与风险 A 相关的新服务,但风险 B 可能是已经存在的一个空白或问题。在这种情况下,我们可能合理地选择更早解决即时风险,而不是尚未成为活动问题的风险。
捕捉关于风险的基本数字信息是管理风险的关键步骤之一。
确定某事是否构成风险的基本要素是具有足够的概率和影响,使该项变得足够重要以进行跟踪。这就是所谓的重要性。
重要性 - 具有足够重要性或规模以引起关注。 |
---|
通常情况下,组织越大,被视为具有足够重要性被记录和管理为风险的财务影响就越大。
如果我在单个应用程序中识别出一个个别的、关键的漏洞,只有当它可能(单独)对我的组织造成重大影响时,才有可能被视为风险。我仍然需要确保通过正常流程将其管理到闭环,但我不需要要求将其跟踪为风险。
但是,我也可能确定同样的关键漏洞可能存在于大量其他应用程序中,因此需要紧急调查。在这种情况下,如果我认为集体影响显着,我将将其升级为风险。
每个组织都会定义其重要性阈值,通常为一定的财务金额。如果一个差距或问题可能给组织带来超过$x 的财务风险(其中 x 是组织确定的重要性阈值),则应将其纳入风险管理流程。
本章的风险登记部分还有更多关于重要性的信息。
如何捕获和管理个别风险?
当报告风险时,重要的是有效地进行管理。
有效管理个别风险需要一致的方法来捕获和管理每个风险。使用一致的流程创建的风险信息可以更容易地进行比较、连接、升级(如果需要)和后续优先处理。
有几种风险框架可供选择,包括 ISO 31000(国际标准化组织的风险管理方法)、COSO(来自特雷德韦委员会支持组织的委员会)、企业风险管理框架和 ISACA CRISC(信息系统控制风险认证)。
所有上述框架都值得探索,可以根据个人或组织的偏好进一步探索。对于我们的目的,我们将研究所有风险框架共享的核心概念。
三个关键要素是:
- 所有权:确保每个活跃的风险都有明确的负责人。
- 生命周期:定义并使用一致的风险生命周期,以确定风险处于何种状态。
- 风险信息:确保捕获足够的关于风险的信息,包括其概率和影响。
所有权
每个个别风险必须有一个明确定义的所有者,他承担管理风险的责任。单点责任在这里和整个安全框架中一样重要。其他人可以并将帮助管理和控制风险,但必须有一个具体负责管理风险直至最终关闭的人。
生命周期
所有个别风险都有一个生命周期。它们被发现,调查,分析,处理并根据需要关闭。最简单的风险生命周期可能只考虑风险是“开放的”(仍然是潜在威胁)还是“关闭的”(不再是潜在关注)。
您的风险生命周期阶段越精细,以后区分仍在调查中的新风险与其他风险在风险管理过程中进展更多的风险就会更容易。
一个有用的基本生命周期阶段集合是:
- 已识别
- 调查中
- 分析
- 处理中
- 监控
- 已关闭
这些不需要按顺序进行。例如,有些风险可能被报告(识别),调查,发现不是风险,并关闭。
风险信息
除了对风险的简要描述外,捕获其他关键信息也很重要。如前一节所述,确保捕获有关概率和影响的信息至关重要。一开始这并不重要,因为风险的信息应在其生命周期中逐渐澄清(或详细说明)。
当以使风险的影响更容易在以后分析时捕获风险信息时,风险信息更有效。例如,与其仅在自由文本中记录影响信息,当可以利用多选列表时,这将更有用。如下所示,这可以允许风险所有者选择可能受到影响的多个因素或系统:
- 丧失关键服务
- 丧失关键产品
- 品牌/组织形象
- 客户数据
- 公司数据
- 员工数据
- 业务流程
- 财务流程
- 内部应用程序
- 外部应用程序
- 法规或法律合规性
- 知识产权
其他标准风险信息可能包括接近程度(风险可能发生的时间)和可管理性(风险所有者认为组织在选择控制风险时的能力)。
通常,还记录了谁报告了风险以及何时(日期和时间)发生这种情况的信息。
风险所有者还(在分析过程中)确定哪种或哪些风险管理方法是适当的。这些方法被称为风险对策或风险处理选项。通常有多达 5 种主要处理风险的方法:
- 预防。这涉及消除风险的根本原因,从而防止风险出现。例如,风险管理人员可能决定不采用已知会引发风险的特定技术组件。这有时被认为是一种规避风险的形式。
- 减少。这意味着减少某件事以减少其潜在影响。例如,减少系统存储的记录数量可以减少其潜在的损失曝光。
- 接受。接受风险意味着不采取任何行动,如果其潜在概率和影响足够低以至于可以吸收,并且采取其他风险处理方法过于昂贵。
- 应急。这意味着创建一个备用计划,以帮助减少风险发生时的影响。例如,如果处于风险之中的系统失败,具有替代功能的另一个系统或流程可以接管,这就构成了一个应急计划。
- 转移。将风险转移给他人意味着让他人承担责任。例如,风险所有者可能选择购买针对潜在损失的保险。
在许多情况下,可能会选择多种风险处理选项。例如,风险所有者可能选择做某事的少一些(减少)并且还要为剩余风险投保(转移)。
有关如何记录有关个别风险的附加信息的灵活性很大。为了使风险信息可用,关键步骤是以一致的方式捕获上述关键信息,然后通过适当的风险列表(称为风险登记表)分享它。
网络风险登记表
风险登记表 - 包含每个潜在重大损失或损害曝光的条目的中央库。通常,会有一个最低重要性阈值;例如,必须达到或超过一个最低潜在财务损失值,才需要在库中记录一个条目。如果风险确实发生,它在技术上就变成了一个问题(而不是风险)。项目可以继续在风险登记表中进行跟踪,直到成功管理了影响并解决了根本原因,以至于风险不太可能再次发生。 |
---|
尽管风险登记表只是一个风险列表,但如果使用一致的格式捕捉每个风险的关键信息,它可以提供简单的方法来识别:
- 报告的相似或相同的风险。
- 可以组合的风险(堆叠风险),以创建对安全景观的某部分造成更多潜在问题的整体问题,而不仅仅是个别风险所暗示的。
- 应该解决的比较风险优先级。
关于网络风险登记表的重要之处在于它记录了可能对数字景观造成重大伤害或中断的任何重要风险。这意味着任何可能对网络安全生态系统产生重大影响的因素都应该在这里进行管理和监控。
大型组织通常要求不同的人管理不同规模的风险。只要有一个过程将风险升级到明确定义的重要性水平以上,以引起网络安全经理的注意,这是完全可以的。
在这种情况下,对于每个人的权限级别,仍然最好使用单一风险登记簿,并简单地限制对登记簿的访问或可见性。这将有助于确保更容易识别整体风险趋势和模式,并且已经以标准格式记录了升级的风险。
使用单一风险登记簿的另一个原因是帮助识别堆叠风险。
请记住,堆叠风险发生在不同的个别风险可以累积地以意想不到的方式影响组织的数字化景观的一部分时。例如,组织中的三个不同部门可能报告了三个分别影响攻击面或相同业务流程、应用程序或物理位置的风险。只有在同一位置记录了这些信息,风险管理者才能建立联系并报告这些模式。
捕获和管理风险登记簿方法构建得越智能,风险管理者在管理网络安全优先事项和使组织免受攻击、入侵或其他故障方面就越具见识和效果。
例如,高级网络风险登记簿将允许风险所有者从多项选择列表中选择应用程序、关键业务流程、资产、站点和其他关键参数。这样,不同的风险管理者可以使用相同的变量分析针对这些参数的风险模式。
网络风险登记簿是一种反应性、持续进行的运营机制,帮助风险管理者了解任何时间点的整体风险位置。
风险登记簿的实用性取决于风险所有者如何认真更新它,以及其风险信息选择的工程化程度。
风险登记簿的一个主要好处是,由于已记录了每个风险的重要性(影响和概率)和接近程度,管理者可以就最需要关注和最需要迅速解决的优先事项做出知情决策。
尽管风险登记簿非常有用,但仅依赖于一种反应性风险管理技术是不够的。我们现在将了解一下什么是风险评估,以及如何利用它更主动地识别漏洞。
风险评估
风险评估 - 一种用于主动检测现有或计划活动、资产、服务、应用程序、系统或产品中潜在危险或漏洞的系统化过程。 |
---|
风险评估是一种主动方法,确保风险定期分析和考虑任何高价值目标。
风险评估旨在确定可能危害正在审查的特定目标的任何重大风险。它们提出的问题和捕获的信息取决于正在评估的目标类型。例如,如果我正在对一个应用进行网络风险评估,我的问题可能是为了帮助我理解该应用是否可从互联网访问,它持有多少记录,它所传输或存储的信息是否包含个人或金融数据,它是否具有预期的关键安全控制,它过去是否遇到问题或损失,它使用的技术等等。
这些信息帮助我了解该应用作为目标的吸引力,如果受到损害可能造成的损害有多大,以及是否已经采取了足够的安全措施。
尽管风险评估过程因其目标而异,但其目标始终是回答相同的基本问题:
- 目标的价值和敏感程度是多少?
- 是否已经考虑并解决了正确的风险?
- 还有哪些差距(如果有的话)需要解决?
在某物投入使用之前和定期的、明确定义的间隔(例如,每次发布更新或每年,以较早者为准)都应进行风险评估。
良好的网络安全实践确保对数字化景观中至关重要的目标进行风险评估。这些目标特别包括:
- 技术服务(内部或外部)。
- 新的硬件,特别是网络连接的设备。
- 软件应用程序。
- 新的数据交换连接(入站或出站)。
- 任何数据存储位置。
- 网络访问点和其他网关。
- …
风险评估结果有助于积极了解适用于影响组织网络安全状况的特定流程或组件的风险收集。
如果在评估过程中发现超过组织物质性阈值的风险,则也应在风险登记中记录下来。
这些评估有助于推动一种一致且积极的方法,尽早识别风险,当风险成本较低且更容易管理时。
如何应用基于风险的网络安全管理
许多组织可能无法负担得起充分保护其数字景观中的所有内容。这意味着将努力集中在保护创造最高业务收入的项目上,或者如果受到损害,将对业务收入产生最大影响的项目上,变得至关重要。
这被称为采用基于风险的方法,因为它使用每个可能受损项的潜在影响和价值来帮助确定其优先级。
基于风险的 – 一种方法,考虑到故障的财务影响,以及其发生的概率和接近程度,以确定其相对重要性和优先级以进行处理。 |
---|
在预算和资源有限的情况下,有必要逐步进行(i)了解业务的真正优先事项是什么,(ii)优化环境以最大化安全性提供的价值和覆盖范围,以及(iii)提供适当的安全控制。
在尝试保护一个新的或之前不安全的环境时,与其试图在第一次尝试中保护所有内容,一个网络安全经理更可能采用更快速、基于风险的方法来:
- 首先确定最有价值的信息目标。
- 确定信息需要流经和传输到的数字资产。
- 验证信息在何时何地需要的业务案例。
- 考虑组织面临的威胁以及它们发生的概率。
- 最小化任何敏感数据的影响,基于业务案例。
- 然后可以高效地添加适当的安全控制。
如果已经有一个维护良好、建立的风险登记表和一套风险评估流程,新经理可以利用这些信息来帮助验证优先级并实施具有正确优先级的行动。
当风险捕获和评估流程尚未实施或成熟时,新的网络安全经理通常会开始对组织进行高级风险评估。该过程的简化版本将在下一章中介绍。
十三、你的网络暴露有多严重?
在审计了许多公司的“深度”安全性之后,我发现,大多数企业最需要关注的漏洞是那些某人可以轻易驾驶卡车通过的漏洞。
解决这些不足的一种方法是使用提供逻辑、逐步指导的现有框架逐步设置所有正确的控制措施。 NIST、COBIT、COSO、UK Cyber Essentials 等框架在实施有效的组织范围方法方面都具有比较优势,并且在方法上存在重叠。
尽管这些框架都提供了评估和解决安全漏洞的有效方法,但还有一些更快捷、更简便的方法可以确定组织当前的网络安全状态。 您可能可以回答这些问题,即使您曾在组织内任职,但与安全部门无关:
- 员工和供应商的安全培训是否是强制性和定期的,并且是否包括关于如何不经意地将恶意软件带入公司的信息?
- 如果个人设备上的组织邮件包含某些敏感信息或已被分类为“机密”或更高安全级别,员工是否无法访问组织邮件?
- 员工是否需要使用两个或三个以上的用户名和密码才能访问主要的业务应用程序?
- 员工是否可以在未经许可的情况下将组织未提供的设备插入主网络(无线或其他)?
- 关键系统或应用程序在工作日内是否会崩溃(其可用性受到干扰)?
- 员工和承包商是否对他们的组织持有积极的支持态度; 它是否普遍被认为是一个良好的工作场所?
- 过去 12 个月,组织是否已经成功避免了网络安全漏洞或其他电子数据损失,而这些事件曾经引起外部关注?
- 安全是否扩展到云服务、移动设备、供应商服务、社交媒体群组和其他数字领域,而这些领域的安全仍然是组织合法责任的范围?
如果您对以上问题的两个或两个以上回答都是“否”,那么您所考虑的组织很可能存在重大的网络安全漏洞。 这并不是一个详尽的测试,但它确实表明了确定一个组织是否存在重大网络安全漏洞可能是一项相当容易的任务,而且几乎不需要内部信息。
这些问题的答案本身并不构成足够的证据,以便将其呈现给组织的执行决策者作为投资于网络安全的业务案例。 提出对这种投资的全面论证需要采取更有结构的方法,以创建对关键业务目标和收入来源的理解,以及至少对它们依赖的主要技术和技术相关流程进行基本的网络安全分析。
在本章中,我们将简要探讨如何识别网络安全不足的主要症状,并将它们转化为一个有意义的业务案例,以帮助激励批准正确的投资来解决这些问题。
这只是一个可以作为组织级别风险评估的一部分使用的非常基本的框架。 它应该只被用作一个起点。
我已经在许多不同的公司中应用了这些方法,它们总是有效的。 通常我只有十天或更少的时间来整理这些信息。 以业务为重点、以风险为基础的方法来分析影响组织网络安全的主要因素,使得捕获和呈现当前状态的一致概览相对容易。
理解的第一个和最重要的关键细节是了解组织的主要业务和收入生成目标是什么。 这可以通过了解企业依赖的主要服务或产品以及审视定义组织前进计划的战略意图来实现。
除非捕获这些信息,否则将无法有效地通知关键决策者发现的任何差距。 至关重要的是,任何问题都以其潜在的业务影响背景呈现。 如果它们纯粹以技术或程序上的缺陷呈现,这些决策者通常会忽视它们。
例如,如果我说我们真的需要投资于$X,以便安全架构师帮助协调和减少我们的攻击面积,一个非技术性的、执行决策者将无法理解这种无形概念的相关性。
但是,如果我以可能性、成本、影响和对业务运营、客户访问和品牌声誉的干扰等方面来呈现相同的问题,这将使这个决策者更容易做出适当的投资决策。 如果我还包括通过改进安全架构可能实现的额外业务收入好处,那么我的案例将更有说服力,因为更好的安全架构可以通过保护对客户和公司都重要的数据来提供更可信赖和健壮的客户体验。 提供以业务为重点的真实例子和数字是获得必要投资的唯一途径。
了解公司的业务目标和它们创造的价值,让网络安全专业人员能够理解现有的防御措施是否足够并且是否适合公司。
应该评估的第一项与网络安全治理有关。记住,这意味着寻找一个负责网络安全管理的单一责任点(一个人),他坐在主管委员会上,或直接向主要执行委员会汇报。所有与安全相关的政策和程序是否在他们的控制之下?他们的角色是否要求他们确保网络安全在业务运营期间得到一贯考虑和管理。
我不打算在本章列出所有的执行、政策和程序要求,但以下治理问题可以作为一个起点:
- 是否有安全指导委员会?他们的权限是否包括网络安全?
- 是否定期编制网络安全状态报告?是否涵盖所有主要的防御措施类别?是否提供给适当的管理人员?
- 网络安全部门的责任是否明确定义?网络安全的主要学科是否得到代表?
- 是否有网络安全政策?
- 是否有企业级安全架构文件?
- 安全架构是否超越网络,覆盖组织信息涉及的所有领域(云端、移动端,…)?
- 是否有安全意识培训程序和计划?是否包括有关可能导致恶意软件感染的实践警告?
- 是否有维护的风险管理程序(或系统),允许轻松识别与数据或电子设备相关的风险?
- 是否有部署新产品、服务和技术的风险评估流程?是否充分考虑了网络安全因素?
- …
也很重要的是检查任何政策、程序或培训文件(如果有)是否定期更新并且是否积极发送给适当的人员阅读和遵守。
下一步是检查是否有可用和可访问的攻击面关键组件清单。具体来说,这应该包括:
- 是否有组织使用的所有主要应用程序的单一集中列表?每个应用程序条目是否标识了业务所有者、用户数量、它管理的信息类型(财务、个人、信用卡,…)?
- 是否有供应商清单,包括技术供应商和其他可能代表组织使用技术的供应商?
- 是否有数字设备清单由组织负责?这些设备的安全状态是否可以检查;例如,验证设备是否运行最新软件?
- 是否包括一个‘批准’的安全设备类型清单?
- 批准设备的安全配置是否有文档记录并且是否适当?
- 所有组织负责的电子个人数据的位置是否都被追踪和管理?
- …
请记住,为了满足单一要求而设置多个系统会产生漏洞。 例如,如果有四个跟踪应用程序清单的系统,这肯定是低效和无效的,因为人员将无法在一个地方查询有关应用程序的信息,或以完全相同的方式捕获此信息。
一旦确定了已经存在(或不存在)的主要治理和管理机制,就可以相对于每个主要产品或服务来查看组织风险。
为了对组织进行快速风险评估而言;
- 如果一家公司生产大量的产品和服务,最好的做法是评估前五或前十名;
- 如果这些产品和服务依赖于共同的系统,将它们视为产品或服务组是评估和理解基础业务原理和网络安全状态的最实际的方式。
- 如果有大量的站点(物理位置)和数据中心,评估一小部分站点是开始的最佳方式。
一次只考虑一个主要产品或服务很重要,要看它们的作用(业务目标),它们使用的电子数据,就像水管工跟踪水流一样,要查看信息流经的所有电子位置。 这将帮助了解潜在的攻击面,需要进一步调查的地方,它们依赖的应用程序,操作它们的人(包括供应商)以及确保网络安全始终被考虑和应用的程序。
考虑每个应用程序使用的数据类型。 应用程序是否包含必须受到更高安全级别保护的信息? 如果数据包含个人、财务或机密信息,则可以合理地预期控制措施会更加严格。
只有了解数据的类型和数量,并分析它流向何处,才能希望确定可能被破坏的地方。
例如,当检查客户关系管理(CRM)系统时,发现另一家供应商每周也会拿走一份完整的信息副本进行分析。 如果我们只检查了主要的 CRM 应用程序和提供商,我们会发现数据受到了很好的保护。 通过检查其他(意外的)位置,我们发现了一些高优先级的安全漏洞和纠正措施!
对于每个确定的位置,应考虑我们在本书中介绍的所有常规网络安全检查。它是否配置安全,是否有访问控制,是否监控以确保运行最新的反恶意软件,信息是否被正确分类,设备是否始终及时地从制造商处更新补丁等等。
应检查管理这些电子位置的程序控制。操作这些位置的工作人员是否需要定期参加安全意识培训课程?访问权限是否根据每个人所需的最少权限管理?行政和运营角色是否分离?
对其整体网络安全状况进行良好的组织评估就像一本好书:它有一个开头,一个中间和一个结尾。
在开头,您需要了解业务需求和重点,然后确定所有主要内容(治理政策、流程和系统)是否已经到位。
在中间,会检查一组关键产品和服务的代表性样本,以了解它们依赖的应用程序、人员、供应商和数字设备。这个阶段还涉及确定业务数据走向的每一步是否都有正确的主要网络安全控制。
一旦确定了任何漏洞,应记录下来,并记录解决问题的纠正措施。
在此过程结束时,您将能够汇总一份总结网络安全状况的报告(是否已经就位)。请记住,这样一份报告的一个重要元素是解释这些漏洞如何可能影响业务收入和运营的翻译。
当我们开始这一章时,我们提到组织遭受重大漏洞时,通常存在重大漏洞。尽管这种审查可能也会识别出非常小的问题,但请记住,执行者不想要或不需要这些细节;他们需要的是大致情况。
评估必须以主要因素的摘要形式呈现给执行者,同时解释它们的潜在业务影响以及可以修复它们的关键纠正措施(和成本)。详细信息应仅提供给感兴趣的人。
通常,风险和漏洞之所以未得到解决,仅仅是因为它们只被提出为技术或程序性漏洞。除非将这些问题以其对业务收入的影响来呈现,否则它们不太可能被解决。
执行报告的一个示例格式可能包括以下主要状态:
- 治理:
- 网络安全执行管理和升级结构。
- 网络安全报告(包括主要风险)。
- 网络安全政策和程序状况。
- 网络安全架构状况。
- 网络安全人员配置。
- 运营:
- 所有信息资产(内部和外部)都集中列入清单,并定期评估。
- 存储电子信息的位置有遵循的信息分类流程。
- 主要业务应用程序和数据存储位置正在积极监控。
- 身份和访问权限得到有效和集中管理。
- 数字设备清单保持与安全状态。
- 已定义并遵循了基线安全配置。
- 适当的安全要求已嵌入到应用程序的开发和/或采购中。
- 有效的安全事件和事件管理(SIEM)流程已经就位。
- 正在监控网络入侵和恶意软件感染率,并且任何趋势或高峰都会触发适当的警报。
- 及时有效地进行补丁管理。
- 用户权限设置为最低可能水平以满足工作要求。
- 高级防火墙正在运作。
- 已就位并运行了有效的反恶意软件解决方案(并在所有预期的设备上运行)。
- 移动设备管理已就位(并在所有预期的设备上运行)。
- 关键系统已就位技术应急计划(业务连续性和灾难恢复计划)。
- 已就位确保未经业务证明而保留电子信息的数据保留和归档政策或程序。
- 合规:
- 一个定期风险评估的计划已就位,并跟踪攻击面的所有关键部分。
- 在 Internet 面向的应用程序投入使用之前以及应用任何更新之前进行了渗透测试。
- 包括针对网络安全相关政策和流程的检查的审核或评估程序是有效的并且已就位。
使用这些检查表相对容易评估组织是否存在可能允许未经授权访问的重大和公开风险。 更难的任务是将这些差距转化为清晰突出任何可能的业务和收入后果的与业务相关的语言。
糟糕的网络安全通常是公司高级管理层不了解问题的更大问题的症状,以及这些问题可能造成的极端个人和专业损害。
上述项目并不是详尽列表;它们旨在帮助快速评估管理安全电子数据和设备安全的主要因素,这是任何组织所依赖的功能。
十四、当事情出错时该怎么办。
在本章中,我们涵盖了:
- 安全事件与事故之间的区别
- 安全事件管理
- 何时升级
你可能注意到本章标题中使用了‘when’而不是‘if’事情出错。
统计上不太可能相信任何规模的组织永远不会遭受任何形式的入侵、恶意软件或其他损害其数字设备并需要修复的材料。尽管现实如此,一些组织选择把头埋在沙子里,相信否认是一个潜在的解决方案。
根据 PWC 为英国商务和创新部门进行的 2014 年调查,只有 73%的大型组织承认他们在过去一年中遭受了病毒或恶意软件感染。那么其他 27%到底发生了什么?他们是否有很好的安全实践或者检测率很低?统计上,他们很可能检测率低。
鉴于网络安全漏洞将会发生的必然性,对于每个企业来说,在事情出错之前都有一个称为安全事件管理的流程是至关重要的。即使是只有一个安全人员的组织也需要有一本指南来在发生事情时遵循。
拥有一个牢固、可靠的处理安全事件的流程对于减少其成本和影响以及缩短中断持续时间至关重要。清理这些事件所需的流程和能力被称为安全事件和事件管理,或称为 SIEM。
安全事件与事件管理(SIEM)
首先了解安全事件和安全事件之间的区别是很有用的。
安全事件 - 用于描述被认为是无意的数字领域的轻微干扰的术语。 例子包括单个故障设备或单个用户忘记密码。 安全事件的不寻常模式可能是安全事件的指示器。安全事件 - 有意的损坏、盗窃和/或未经授权的访问,对组织的任何重要部分的信息、系统、设备、服务或产品产生直接或间接影响。 |
---|
监控安全事件可以为制定安全改进提供有用信息。安全事件也是安全事件检测过程的重要情报来源。
检测和报告事件(违规或其他有意的侵入)是安全事件生命周期的第一步。
安全事件可能会造成巨额损失,显著干扰组织的业务运作,并造成品牌损害。早期和有效的事件管理有助于减轻这种影响的严重性(时间和成本)。
有效的安全事件管理要求在发生事件时能够激活适当的流程和具有必要技能的事件响应团队。
需要确保安全事件响应团队明确定义并定期测试此流程。如果没有一个准备充分且经过测试的安全事件流程,任何攻击或其他妥协的成本和影响将大大增加。
作为一个设计良好的安全事件管理流程的一部分,确保明确定义参与流程的人员的角色和责任至关重要。这意味着不仅要定义安全事件响应者的角色,还要定义与流程关键的所有其他角色。如果某人(如外部顾问或来自其他内部团队的工作人员)被召集来帮助安全事件响应者,他们需要在能够发挥作用之前明确其具体责任。
安全事件流程包括五个关键的生命周期阶段(如果包括建立流程的需求则为六个)。这些阶段最好总结为:
- 检测和报告。
- 验证。
- 隔离(也称为隔离)。
- 清理(缓解和恢复)。
- 复审(分析模式和流程缺陷)。
一些框架,包括 NIST,将这些阶段描述为检测、响应和恢复。
检测和报告
组织内的人员需要知道如何将任何疑似或确认的事件报告到安全事件流程中。事件应能够直接通过手动渠道触发。
可疑模式或安全事件的集中应自动触发事件。
直到报告事件并触发事件响应流程之前,违规造成的损害将持续。
一旦有潜在事件报告,就必须为其分配初始优先级。在事件进行过程中,随着额外信息的出现,此优先级可能会发生变化。
通常,事件响应流程将提供一个包含 4 至 7 个优先级选项的简要列表。每个优先级水平都需要具有明确易懂的标准。毕竟,在一些组织中,某些事件如果不加以修复,可能每分钟就会造成数百万美元的损失,而其他事件则可能根本没有或几乎没有财务影响。
选择特定事件的优先级通常由以下因素决定:潜在的财务影响和/或受影响的人员和/或客户数量,他们受到的影响程度以及涉及的数据或服务的敏感性。
如果一个安全事件只影响十个低价值系统上的用户,那么影响将远远小于它影响数百、数千甚至数百万人的业务关键系统。低价值、低用户的系统可能可以允许短时间下线。相反,许多企业不能承受某些系统完全没有停机时间。想想航空公司或酒店预订系统,或拍卖和房地产网站。即使是几秒钟或几分钟的中断也可能导致巨大的财务损失。
在分配优先级时,同样重要的是要注意考虑不仅是眼前的事件,还有更广泛的影响。例如,如果我在一个小型系统上发现了恶意软件感染,可能仍然需要为其分配一个优先级类别,如果在验证阶段确定问题可能迅速传播到攻击面的更高价值部分。
明确定义的优先级也将帮助响应者确定安全事件何时需要升级。如果预计安全事件将导致重大业务中断,或者因为无法在正常容忍度内管理事件,则可以在事件发生期间的任何时候将其升级到管理层。
设置优先级水平还将定义完成每个未完成阶段所允许的目标时间。如果某个阶段的允许时间超过了,或者安全事件经理预计时间将超过,这应该导致事件被升级并标记为警报状态。
警报状态 - 可以分配给安全事件的升级标志,以指示其无法在组织的安全流程中管理在允许的时间限制或其他可接受的容忍度内。 |
---|
验证
一旦潜在事件报告到流程中,安全事件响应者(在本书的较早章节中描述的角色)将需要验证事件是否真实,并进一步对其分类。
正如本书前面所讨论的,可以使用明确定义的类别和多项选择列表来帮助加快事件响应过程。这意味着网络安全人员不仅应该对事件进行分类,还应该尽可能多地收集有关组织的关键部分(站点、服务和产品)和攻击面(设备、系统、应用程序、数据、网络段)的信息。
美国计算机应急响应团队(US CERT)为安全事件定义了六个类别。这些是:
- 未经授权的访问。
- 拒绝服务。
- 恶意代码(包括恶意软件)。
- 不当使用。
- 未遂入侵。
- 调查。
组织的具体流程可能对这些类别有不同的标签。如果一个事件涉及多个类别,这将是重要的信息需要收集和解决。
第六类别(调查)主要是一个占位符,用来指示事件的原因和影响仍在研究中。
在第八章(技术网络安全)中,我们讨论了主要网络攻击的典型生命周期。我们之前也讨论过,问题被早期发现,修复成本就会更低。虽然预防比事件管理更便宜,但同样也是事实,攻击或入侵生命周期中问题被早期发现,修复成本也会更低。因此,一个被称为杀伤链的概念经常被用来帮助事件团队了解问题被检测到生命周期的多远。
杀伤链 - 一个概念上的网络防御模型,使用攻击结构作为建立网络防御策略的模型。典型的高级持续性威胁的阶段通常被用作框架,考虑到每个阶段的网络防御策略(检测、拒绝、干扰、降级、欺骗、遏制)。该模型基于这样一个前提:在生命周期中攻击越早被检测到和击败,产生的成本和损害就越低。这个模型可以作为防御策略的一个有用的附属品,但也存在固有的缺陷;例如,它在应用于防御范围之外的信息时效果最好,但在应用于内部组织网络时效果较差。然而,该模型非常成功地强调了当网络攻击在网络攻击生命周期的早期被识别时,处理它们的成本要低得多。这个相同的模型也在事件管理中使用,以确定攻击的进展程度,以帮助经理确定可能的成本和击败它的策略。 |
---|
安全事件响应者还可能召集相关学科的专家来帮助管理事件。重要的是提前达成协议,以确保这些专家在需要时可用于将其添加到事件响应团队中。
隔离(隔离)
如果确认发生了事件,必须隔离受影响的组件以最小化影响并防止数字景观的其他部分受到影响。
这可能是事件响应过程中的一个棘手步骤,因为重要的是要平衡组织继续运行和提供服务的需求与违规的潜在成本和影响。
正如外科医生必须小心地精确限制他或她切割的身体组织的数量一样,事件响应者努力精确和谨慎地隔离受影响的数字组件,以最小化系统中断并最大化组织范围的支持以响应事件。如果网络分割和冗余系统已经存在,则事件响应团队更容易减少业务中断的程度。
如果无法避免对运营的干扰,那么有必要提前准备好明确定义的沟通和通知程序,以便依赖受影响的系统或设备的人员能够立即并简洁地得到通知,并估计恢复其服务所需的时间。
在可能的情况下,应首先通知或咨询关键企业流程的管理者。未能及时与受影响的管理者商议可能会给安全响应团队带来不愉快的后果。
还应该预料到安全事件通常会被任何攻击者故意安排在正常工作时间之外发生。
清理
一旦确定了原因和受影响的组件,事件响应团队就需要能够迅速调用具有专业知识的人员来清理和恢复这些组件。
在某些情况下,可能无法立即清理和恢复组件到原样。这使得团队必须包含,或者能够紧急访问,能够识别临时解决方案的专家,以便在受影响的组件本身得到修复之前采取替代解决方案。在此阶段,适当访问业务连续性和灾难恢复计划可能至关重要。
在清理阶段的另一个关键考虑因素是确保保留可能在将来的调查中需要的任何证据。可能需要涉及数字取证专家来捕获所有必要信息,以在事件之后追踪、证明过失或起诉攻击者。
再次强调,有必要在事件响应过程中定义何时需要保留证据的标准,尽管事件响应团队仍可能需要数字取证专家的帮助或建议,这些专家可能是公司员工或外部顾问。
审查
一旦即时事件得到解决,总是建议进一步查看发生了什么,无论是在事件还是过程层面。
这样的审查涉及到提出诸如:这种事件是否可能发生在其他类似的组件上?它是否是一个更大的模式的一部分?是否需要采取额外的即时步骤来保护数字环境?
过程运作如何?有效吗?是否有任何过长的地方?角色和责任是否定义得足够清晰?是否有任何需要作为改进过程的教训?
任何事后响应审查最终都会分析事件响应过程的各个部分,即定义安全事件和事故如何优先处理和升级的部分,是否运作良好或应该进行修改。这需要了解在建立这些优先级和升级标准时考虑了哪些因素。
由于响应安全事件非常重要,拥有全面、设计良好且经过充分测试的事件响应流程对于成功的网络安全至关重要。
同样重要的是,必须确保参与组织功能的人员知道如何向正确的部门或个人报告潜在事件,以触发安全事件流程。
记住,据报道,在任何客户数据被窃取之前,Target 收到了一条反恶意软件警报。如果确实发生了这种情况,并且警报触发了适当的事件响应流程,那么潜在地数据泄露可能已经被阻止了。
十五、对未来的一瞥
在第一章我们谈到了技术变化的速度不仅是有史以来最快的,而且正在加速。
了解技术将如何继续发展对网络安全规划可能是有帮助的。
随着我们对技术的使用增加和成熟,更广泛地了解预期变化可以极大地帮助人们制定个人和专业的网络安全战略。
这一章我们将看看未来十年甚至更长时间里将变得更加普及的趋势和新技术。关于这些预测的正确与否绝对没有确定性。然而,许多近期的预测已经开始出现,或者基于持续了几十年的模式。
关于技术最令人惊讶的事情是,我们不再需要考虑某件事是否可能。现在几乎可以创造任何东西。与其考虑某事是否可行,现在唯一真正的问题是——‘它能赚钱吗?’
利润、收益和权力的诱惑将继续是技术进步的主要推动力。
我们可以从一些简单的预测开始:
- 电子信息的数量将继续迅速增长。
- 存储和处理电子数据的成本将继续下降。
- 计算机处理能力的数量将继续按照摩尔定律增长。
- 显示屏将变得视觉上更大、更灵活和更沉浸式。
- 我们使用的可以相互连接的设备数量将增加。
- 技术将继续减少对物理空间的需求。
- 动力源(包括电池)将变得更加紧凑,充电速度将更快。
摩尔定律——由戈登·E·摩尔于 1965 年创立。它表明,在计算机的历史上,计算机的处理能力大约每两年翻一番。 |
---|
还有一个非常重要的潜在趋势需要考虑。这涉及到公司盈利方式的变化。
所有人都在思考如何创造价值连城的服务流,从而产生来自相同客户的重复业务的定期收入,而不是销售一次性产品或服务。曾经是一次性产品购买的物品越来越多地成为保证持续收入的订阅服务。
任何组织能够更接近他们的客户,他们就能更好地学习如何将这些服务的销售扩展到新的领域。这意味着两件事:
组织希望增加他们存储和分析的关于客户的信息量。
这些组织希望利用这些客户信息将当前的物理产品转变为订阅服务。
例如,与其支付冰箱和冷冻库的费用,也许只要你签署一份订阅协议,就可以免费获得这些设备,并由特定超市自动供应和送货基本产品(牛奶、黄油、奶酪、火腿、橙汁等),每当这些物品快用完时。
冰箱的协议可能允许它跟踪这些物品,包括剩余量、使用量、产品过期时间,几乎可以确定你还选择了哪些其他物品要送货。为了增加收入机会,订阅服务可能还会包括一个显示屏,以促销其他它可以合理确定你会感兴趣的物品。
他们也很可能会提供更低的订阅价格,如果你同意他们收集并出售关于你的信息。
自从我在第一版中包含了这个例子以来,这些类型的冰箱已经问世;然而就在几年前,许多人仍然认为它们还有很长的路要走。研究人员一致认为,我们现在采用新技术的速度呈指数增长。当电力首次被发现时,它花了许多十年才成为大多数家庭采用的可用资源。然而,第一款有效的智能手机只花了 3 到 4 年就被大众广泛采用。
将电子设备放入我们可能的任何东西现在被称为物联网(IoT)。
物联网(IoT)- 将电子设备整合到日常物品中,使它们能够与其他网络设备进行网络(通信)的过程。 |
---|
有家用恒温器可以接受远程指令来调节温度,并能检测你是否在家。这些设备可能与其他家电通信,让它们知道你是否在家;例如,恒温器可能会与照明系统通信,以便在晚上打开灯光作为防盗措施,或者可能会告诉烘干机在经济模式下运行,因为没有人急需衣物。
简单来说,物联网的基础是电子设备能够连接到其他电子设备和互联网上可能有一些价值的想法。
随着事物的变化,会有早期采用者、晚期采用者以及频繁尝试那些荒谬且永远不会成功的新技术。每年在拉斯维加斯的消费电子展(CES)上,都会展示成千上万种新的小工具。只有少数几个会取得成功。
随着技术能力价格持续下降,越来越多的设备将连接到互联网。随着我们开始携带、穿戴和安置更多连接设备,我们可以预期这些设备将受到各种组织和人员的攻击,无论是好是坏。
可穿戴技术也将不断发展。为什么要把计算机放在夹克里?嗯,如果你可以随时扫描和更改面料颜色,或者将袖子用作手机接收任何消息的显示器,那将会很有用。
刚刚推出的新设备之一包括一台家用 3D 食品打印机。放入一些小的配料卡,选择你想要的甜点,食品打印机将立即为你制作。只需打印出来并上菜。将这个设备放在物联网上有潜力让它下载新食谱,并监视你最喜欢的东西,然后建议你可能喜欢的其他东西。
我们已经拥有智能电视,它们本身就是完全功能的计算机;事实上,在某些方面它们更加先进。在我写这本书的第一版时,有一家制造商发出警告,称在他们的智能电视前进行的对话可能会被记录下来,自动转换为文本,并发送给制造商,以帮助改进他们的语音命令服务!
如果你认为在电脑或平板上看到定向广告很烦人,那么等到那些广告显示屏开始在你走过时专门为你展示广告时,你就会感到更加不安了。想象一下在地铁扶梯上升时,看到前方的广告正在推广你一直在研究的假期。
另一个即将发生的深刻变化是向所谓的增强现实迈进。
增强现实 - 将虚拟数字信息层叠到现实世界视图上。数字层似乎可能与现实世界互动,但影响仅限于影响沉浸在体验中的用户(或用户)的视角。这与虚拟现实不同,其中沉浸的用户只能感知完全人工的世界。能够映射和理解物体和表面,然后似乎允许数字投影与现实世界物体互动的增强现实的高级版本被称为混合现实。 |
---|
在实际应用中,增强现实允许一个人戴上一副可以将三维图像投影到真实空间的眼镜。你不再需要智能手机上的屏幕或计算机上的显示器,甚至不需要客厅里的电视屏幕。使用增强现实的人可以在任何选择的地方召唤任何大小或形状的物体,包括大屏幕和三维投影,而无需所有这些(和其他)物理工具。
使用传感器,这些增强现实设备还可以让人们与那些虚拟对象互动。例如,一名医生可以调出一个三维医学图像,并用双手操纵它,使其变大或变小,旋转,甚至放大并检查不同部分和角度。
增强现实的家庭用户可以在网页上看到一个物体,然后将其真实空间中的三维版本放置在那里,以查看其外观。
在 2017 年,当我描述这一点时,大多数人认为这项技术还需要几年时间才能问世。 然后,他们尝试了一款已经问世的设备,比如微软的 HoloLens,意识到这项技术将在短短几年内成为主流。
同样,自动驾驶汽车将彻底改变我们使用交通工具的方式。 大多数人在 95%的时间里都没有使用自己的车。 如果您可以立即预订一辆车送到您家门口,为什么还要拥有自己的车呢? 您可以让它把您送到您想要的地方,而不用担心停车和维护成本。 您还可以选择在车上享用一杯饮料。 您将可以按分钟、小时和英里使用一辆车,而不是支付和拥有整辆汽车。 这种类型的服务,没有司机的成本,凭借技术的支持,很可能会非常便宜,以至于很快就几乎不会比您目前支付的燃料费用更多。
然而,这也意味着无论你订阅哪家汽车服务,都将知道你去哪里,何时去那里,以及你与谁和什么一起出行,等等。 几乎可以肯定,它将试图向您显示定向广告,或者在您旅行期间为您提供赞助机会(在此停留,享受餐费 5 折优惠)。
你可能认为自动驾驶汽车需要很长时间才能普及。 然而,自动驾驶技术已经证明在遇到致命事故方面比人类驾驶安全 20 倍(按英里计算)。 到 2020 年,大多数城市已经有了大规模的自动驾驶车队支持。
健康也受益于技术进步。 许多人已经使用各种设备监控我们的健康,诊断医疗问题或改善我们的健康状况。 我的生命已经被一台由外科医生操作的机器人(达芬奇机器人)所拯救,该机器人能够进行访问和微创技术,而这是人手无法到达的部位。
然而,健康技术将越来越多地改变目前需要专业医疗设施进行的测试和程序,变成更低成本、更快速和更安全的选择,通常会在家中提供。 例如,现在有一些马桶可以在排泄时分析其中的内容,并在早期提供对从糖尿病到某些癌症形式的各种医疗状况的警报。
然后是纳米技术。
纳米技术 - 通过操纵原子和分子大小的物品制造的令人难以置信的小型产品和设备。 |
---|
从进行非侵入性手术,到提高电池性能,甚至增强人类力量和耐久性,以如此极小的尺寸制造、传递和控制技术的能力创造了更多可能性。忘记矫正眼科手术;在不久的将来,你可能能够在眼睛上涂抹正确的纳米技术集合,不仅获得完美视力,还能够放大远处的物体,记录你所看到的内容,甚至叠加计算机显示。
所有这些进步也意味着将会产生更多关于我们所有人的电子数据,并且将可供越来越多的人和组织访问。
在过去的 40 年里,降低电子信息存储成本和存储物理尺寸,同时增加访问速度的进展是不可思议的。为了让这更具体化,如果你想把整部莎士比亚作品(仅文本)存储在电子存储设备上,那么所需的电子存储(约 4 兆字节)在 1978 年大约需要花费 4000 美元。如今,你可以以不到一美分的价格存储它。
一整个普通印刷图书馆的扫描内容已经可以存储在几张 2TB 的 SD 卡上,大小不超过你的指甲盖。
没有人曾想过我们会找到所有数据存储容量的用途。他们错了。随着我们存储内容的能力变得更便宜更容易,内容的深度也变得更大。例如,数字摄影的目标曾经是 1100 万像素,因为那相当于传统照片可以达到的质量。现在,数字相机可以超过这一分辨率的很大倍数。
我们的数据存储需求大约每 2 年翻一番。我们访问信息的速度也在遵循类似的曲线。如果你认为现在你有很多信息要处理,那么请期待在未来十年内至少要处理十倍的信息量。
收集和使用大量数据可以赋予组织极大的权力。他们可以用它更好地定位客户,发现新的收入机会,并确定可以降低成本的领域。
更多数据量和更多类型的数据增加了需要保护的表面积,也打开了新的潜在威胁和利用。
这些变化意味着我们可以预期数据窃取的尝试将变得更快更频繁。攻击不再需要持续数小时或数天才能产生重大影响。
如果你回想起最初和那个你认为免费下载的谦逊智能手机应用,实际上支付范围可能从“慷慨”的应用供应商向你发送付费广告,到将你的私人信息收入他们的文件中,很可能是为了定向营销目的。
同样的模式将通过与我们花费最多资金的相关主流实践越来越明显,包括健康、食品、交通、安全和娱乐。 你可以预期会出现越来越多的旨在将产品转变为有吸引力、盈利的服务,并(还)收集数据的技术。
除了扩大来自客户群体的订单外,组织还专注于降低运营成本。 因此,技术也朝这个方向发展。
语音识别程序变得越来越智能。 它们已经开始取代一些语音电话处理(呼叫中心)服务。 除了成本之外的一个优势是,计算机语音系统可以用几乎任何语言进行通信。
十年后很可能不会有很多呼叫中心有真人接电话,而且你很快可能就不知道你是在与一个人还是一个计算机程序打交道。
如果你曾经参加过与非英语为母语的人进行的国际电话或视频会议,不用担心。 在未来十年内,即使你们两个都不会说对方的语言,也将有可能与某人进行实时对话。
技术发展的速度也对我们选择采纳它的速度有一定影响。 尽管电视机的发展迅速,但我们中很少有人愿意每三年更换最新功能的成本。 汽车和大多数家庭固定装置也存在类似的情况。
我们最快采用的技术往往是易耗品、廉价或者提供了超过其成本的实质价值的技术。
如果有人为我提供一个订阅免费的智能冰箱,我可能会报名,但如果他们要价 500 美元,我可能会坚持使用我现有的,直到它坏掉为止。
这意味着我们可以预期可穿戴的、易消耗的物品将继续快速发展,而高价值的物品将以较慢的速度发展。
我今天口袋里的手机可能在短时间内就会被嵌入我的手表和看不见的耳饰中,但我可能在相当多年内不会使用无人驾驶汽车服务满足我的所有交通需求。
所有这些变化也会影响就业市场。 即使是需要高技能人才的工作,比如普通医生,需求也会减少,因为随着技术越来越能够提供更快、更有效和更低成本的替代方案。 对医生的需求肯定会继续存在,但一个医疗情况必须在诊断和治疗阶段达到一定程度之前,一个人可能需要参与。
如果我们考虑技术变化将带来的近期影响,网络安全将面临新的挑战和扩展。作为一个物种,我们通过尝试大量选择来进化。大多数失败,有些成功。我们在保护技术方面的前进也是如此。
成为流行并具有足够安全性和保护性以可靠使用的技术将持续存在。那些未能识别其市场和安全需求的技术将被淘汰。
未来几年将发生的一件事是,通过这种消耗过程,组织安全性将得到加强。那些网络安全屡遭破坏的组织将失去客户,而那些避免大规模数据泄露的组织将获得客户。
自第一版问世以来,网络攻击已经更多地转向针对家庭和个人(安全性往往较弱)的方向。这也将创造新的网络安全市场。
总结未来十年可能发生的事情,预计将不断面对新技术和设备。预计数据量和数据位置将继续增加。
展望未来,许多人都在思考人工智能和一个被称为“奇点”的时间点。
奇点(the singularity)- 预测的人工智能超越人类智能的时间点。 |
---|
在人工智能成为现实之前,仍有许多未解决的问题需要解决。在那之前,可能会发生的事情涉及人与技术之间日益增加的融合程度。
人们已经可以获得智能的人工肢体、眼睛和耳朵,通常通过连接的电子设备来发送或接收来自人脑的信息。这被称为湿式布线。
湿式布线 - 在人类神经系统和数字设备之间创建连接。 |
---|
未来可能会使电子信息可访问于人类大脑。例如,如果你要去意大利度假,与其通过外部翻译设备交谈,也许能够通过将语言“加载”到大脑直接访问的设备中来理解和说意大利语会更有趣。
尽管这些技术在未来还有很长的路要走,但人们可能会越来越多地尝试将技术与生物学融合。毕竟,如果你可以拥有人工制造的器官,那么技术的边界和生物学的起点可能不会有太多限制。如果阿尔茨海默病患者的衰退脑细胞被合成纳米技术替代,那会改变这个个体是谁吗?
这是一个哲学观点,我在这本书中无法希望接近。
对于我们的网络安全目标而言,主要考虑因素是变化的速度将会继续增加。会有更多的数据,分布在更多的地方,需要考虑和保护的技术也会更多。
正如希腊哲学家赫拉克利特所说:“唯一不变的就是变化本身。”
当我可以用纳米技术涂抹墙壁,让我随心所欲地改变它们的颜色时,我知道总有一天我可能回到家发现我的墙壁已经被黑客入侵,显示出一些非常糟糕的内容。
十六、综合起来
你会开着一辆完全没有刹车的汽车四处行驶吗?
可能不会,但是当人们和组织开始在没有充分评估其风险并没有采取适当的防御控制措施的情况下,使用技术进行关键活动时,他们经常会参与类似的行为。
在某些情况下,人们不会解决这些风险,因为他们认为有效的网络安全几乎是不可能实现的。
现实是,实现实质性的保护是非常可能的。
不幸的是,大量和严重的网络入侵表明很少有个人和组织正在采取必要的步骤来实现这种保护。日复一日,新的网络攻击和入侵损害着组织和个人,包括:
- 对技术的入侵或干扰
- 电子信息(数据)的盗窃或篡改
其中一些攻击成为头条新闻,有些可能会影响到你或我;例如,如果你的信用卡或密码信息在被盗数据中。
成功的攻击通常发生是因为使用数字系统的人和组织对如何管理他们的技术和电子信息所承担的风险几乎一无所知。
网络安全的目的是通过合理手段保护重要技术和数据。实现这一目标需要采用一个结构化的方法,利用本书中涵盖的所有关键流程。这要求识别关键技术和数据集,分析其固有风险,并根据其价值适当保护。
如果你经营一家大型连锁店,你可能无法阻止所有盗窃,但你可以采取措施确保盗窃最小化,并且在一次事件中只能盗取少量商品。网络安全也是如此。
每家企业都应该预期(并计划)遇到并管理成功的入侵。然而,确保适当的防御、检测和纠正措施层次降低这些事件发生的可能性和影响也至关重要。
记住,网络攻击者具有与历史上驱使犯罪行为的相同犯罪动机。实际上,没有新的犯罪行为;只有实施这些犯罪行为的新方法。
正如涉及盗窃的犯罪历来通过锁、警卫、保险箱和安全标签来预防一样,也有预防措施来保护数字设备和数据。
如果采取正确的积极措施,大多数网络攻击是可以预防的。
如果我们回顾不同的案例研究,就会发现一个明显的模式,表明每当一个组织不能或不会提供全面、连贯和明智的安全状态视图时,个别风险链就会形成,并为实质性的网络入侵创造理想条件。
许多大型组织仍然没有控制他们的安全情况这一事实通常是在广为人知的数据泄露或服务中断事件发生后才会显露出来。
然而,安全改进是由安全漏洞(被动措施)驱动的情况反映出对任何组织或其高管来说是一种不可取的、不安全的状态。对于安全框架来说,提供一个积极、联系紧密且了解充分的业务风险情况以及有效的可行解决方案要好得多(而且成本更低)。
组织对安全的放松态度与遭受大规模网络安全漏洞的可能性之间存在相关性。对于大型组织,这种相关性接近 1.0,这意味着这些变量 100%的时间同时发生。
理解风险并实施适当的积极安全措施至关重要,因为重大的安全漏洞可能导致(i)巨大的成本(ii)许多人事业的终结和(iii)大量信息的丢失。
实现适当保护的第一步是让组织的决策者有动力改善安全。一旦他们有了动力,他们可以:
- 理解差距
- 设计安全
- 实施
- 重复
适用于那些有动力并准备实施的人的正确全面的安全控制措施是随时可用的。
然而,我们所有人面临的最大威胁是我们典型的人类自满。我们的自然倾向是看待个别组件,并抵制将我们的安全状况整体、了解充分和联系紧密的视图汇总在一起所固有的困难。但只有通过整体把握大局,我们才能理解哪些个别任务、风险和行动最为重要。
随着我们接近本书的结尾,让我们回顾一下我们对网络安全有效方法中的关键要素所学到的内容。
- 最关键的因素是高管(董事会层面)对安全正确投资的支持。这需要向高管呈现证据,以便清晰理解组织风险暴露的规模和范围。
- 准备和呈现一个业务案例,将关于组织脆弱性的风险评估信息转化为传达潜在业务影响的语言是很重要的。
- 业务案例与基于对组织主要目标和目标的理解相一致是至关重要的。
- 安全必须在其对业务运营和业务目标的财务相关性的背景下提出,以获得高管支持。
- 安全治理结构需要被定义并落实。这不仅包括政策和程序,还包括指导安全指导委员会如何运作以及升级流程的标准,包括事故和风险管理流程,以引起高管层的关注。
- 确保定义了健壮的网络安全架构,并且它跨越内部网络,覆盖所有企业信息流动的地点。
- 威胁景观(威胁格局)应在规划阶段早期考虑。这包括回答谁可能有动机攻击组织的问题。安全姿态应反映数字资产的吸引力以及对各种敌对组织可能有多大动机来定位这些资产的理解。
- 数字资产应根据其商业价值进行优先级、分类和清点。例如,业务所有者应被要求对其信息库进行分类,以了解哪些数据集需要最高程度的安全控制。
- 建立有效防御的基础需要识别主要的业务关键信息资产,并在数字设备和信息流动的通信渠道上放置适当的控制。
- 每组重要信息必须有一个确定的业务所有者。每个所有者必须能够访问和使用一个简单的流程来对信息的规模、敏感性、重要性和潜在的业务影响进行分类。这需要捕获关于数据量、机密性、完整性、可用性、同意要求、用户数量以及业务、财务、产品和服务依赖的一致信息。
- 在与业务决策者协商后,网络安全团队应删除或销毁价值不大或低的数据。在违规事件中泄露的大部分尴尬数据是无意保留的,并且包含的风险价值超过了其利益。谁需要保留 10 年的电子邮件?律师建议客户,通过过度保留电子邮件通常会损失更多而不是获得更多。
- 对技术目标进行适当和定期的风险评估,包括:
- 应用程序。
- 硬件设备。
- 其他数据存储位置。
- 网络安全。
- 通过其技术提供服务的供应商。
- 将攻击面缩小到满足业务需求的最小适当尺寸。这包括为任何敏感资产和信息定义安全架构。
- 使用安全架构师来帮助简化网络防御点的范围。
- 将攻击面划分为反映其交易信息的价值和敏感性的离散段。对最高价值区域应用最高安全性。
- 在所有携带、存储或交易信息的设备上使用最新的“下一代”反恶意软件。
- 实施强大的用户访问控制措施,其基础是按照提供人们所需最低特权的方式进行操作。
- 采用一致、健壮且可管理的身份和访问管理策略,将允许您从单一点快速改进访问控制。
- 及时为所有设备和操作系统打补丁,使用来自制造商的最新安全更新。
- 部署其他关键的技术对策,例如在关键位置使用具有强大策略的高级防火墙。
- 确保所有应用程序、系统和物理设备的安全设置处于适当高的水平,并移除所有默认帐户。
- 但最重要的是——记住,防御深度需要对安全采取全面的视角。物理安全、程序控制和文化条件是最重要和最成功攻击的关键因素。
了解组织的目的和业务目标。
现今组织对技术的极端依赖以及任何重大违规事件的即时成本是推动网络安全成为所有首席执行官头三大考虑因素的因素。这是因为如果组织的关键运营系统或其中包含的数据受到损害,组织就无法有效运作。其影响不仅包括即时的业务中断,还包括法律、品牌和恢复成本。
有效管理网络安全需要花时间了解企业如何赚取收入以及这如何转化为向客户提供的产品和服务。这将使得不同组件的价值、功能和优先级得以考虑。
每个组织的情况和前景都是不同的。确保安全的具体方法将取决于许多因素,包括:
i)业务性质。
组织提供的产品、服务和信息的敏感性越高,安全性就需要越强。电子信息或服务的价值越高,它就越具有吸引力。
ii)组织的规模和其风险偏好。
企业越大,其决策者了解遗漏风险和拥有强大安全姿态的好处就越大。这是因为大型组织没有适当的安全措施就无法长期生存。没有投资于网络安全并多次遭受违规事件的大型组织将被摧毁或被收购。较小的组织往往具有较大的风险偏好。这是因为(i)它们的价值和规模使它们(在过去)不太可能成为目标(ii)如果它们失败,它们损失较小,(iii)如果它们成功,它们能够承担更多的风险,这是它们更大的竞争对手无法承担的。
iii)企业的文化和历史。
在员工中培养强烈忠诚和积极情感的公司不太可能受到内部威胁的影响。然而,如果一个企业没有任何重大影响来自网络攻击的历史,这可能导致高管的自满和更高的大规模安全漏洞的可能性,这将导致未来重大网络攻击。因此,网络安全专业人员让高管意识到这种自满的存在是很重要的,因为对安全投资的抵制总是由于未告知高管不解决安全问题的业务后果。
如上所述,一个组织的性质强烈影响其安全风险和需求。这意味着(i)技术对入侵的吸引力越大 (ii)规模越大 (iii)安全漏洞越大 =(iv)组织遭受网络攻击的可能性越大。
付款卡系统、知识产权和组织在互联网上提供的服务都是网络攻击者的高价值目标的例子。企业拥有的这些越多,每个系统拥有的记录越多,安全姿态就需要越强。
无论组织的情况如何,网络安全专业人员理解并根据业务需求提出安全投资的必要性是很重要的。
网络安全是一门学科
仍然有许多组织决策者认为一个人可以在没有支持的情况下管理网络安全。这是不可能的。
这个主题包含太多不同的领域,发展速度太快,无法由一个人管理和配置资源。
此外,记住爱德华·斯诺登效应。如果一个人拥有太多的信任访问或控制,组织就会面临风险。
网络安全经理、网络安全架构师、网络安全分析员、渗透测试员、安全事件响应人员以及防火墙和入侵检测配置人员都是单个大型组织中需要具备并实施足够网络安全措施的 30 多种不同、具体角色和技能集的例子。对于许多组织来说,从专门的安全服务公司采购这些技能可能比雇佣某人更有意义。就像一个组织可能没有专职电工或管道工一样,它可以从外部供应商那里获取服务;例如,渗透测试或安全审计,用于特定任务。
有效的网络安全需要团队合作。它还需要比任何一个人都能获取和维护的知识更多。
防御深度
大多数关于网络安全的文本都专注于技术和即时程序控制,包括:
- 用户访问控制
- 反恶意软件
- 安全配置
- 防火墙、入侵检测和预防管理工具
- 加密
- 补丁管理
- 技术安全架构
- 主动安全监控警报,用于检测端口扫描和其他妥协指标所显示的模式
- 在使用或升级之前,对所有面向互联网的应用程序进行渗透测试
- …
重要的是要明白,虽然所有这些措施都非常重要,但也需要其他传统的安全层:
- 有效的风险捕捉和管理流程
- 安全事件和事件管理
- 业务连续性和灾难恢复准备工作
- 物理安全
- 安全意识培训
- …
应该考虑所有能够帮助保护信息的技术、程序和人为因素层。
创建一个全面、知情和连接的网络安全视图
网络安全的关键在于创建一个全面的、连接的和风险知情的方法,该方法与高管制定的业务战略和目标保持一致。
要创建一个全面而连接的安全风险视图并不像看起来那么困难;事实上,有大量的框架和平台可用于帮助完成此过程。深入审查 ISACA COBIT 和/或 COSO 框架将是一个很好的起点,以获得指导。
同样,包括 AdaptiveGRC(我设计的一个)在内的平台提供了一个简单的方法,可以从现成的一套同步流程开始进行进一步的完善。这些框架允许网络安全经理将所有流程、风险和纠正信息汇总到一个同步的数据源中,以便更容易地进行管理和优先处理。
当保险公司为一个企业制定网络安全保险政策价格时,他们的计算通常会考虑这些指标:
- 该组织有多少漏洞?
- 其防御措施有多强大?
- 其数字资产有多有吸引力和有可能盈利?
- 攻击者有多有动机针对该组织?
如果一个组织对这些因素有着知情且准确的理解,有适当的防御措施且没有大规模数据泄露的历史,那么它未来遭受数据泄露的可能性就会大大降低,因此保险费率也会降低。
总结
应该明确的是,我们都越来越依赖数字技术。现在,几乎我们使用的每一个产品和服务都以它们为基础,甚至包括我们委托我们的安全和生命的产品和服务。
越来越多地将这些技术纳入产品和服务的趋势正在快速发展。
这一事实越来越明显地表明,我们不能仅通过试图保护数字网络来解决网络安全问题。
特别是,日常产品越来越多地连接到互联网上。已经有一半以上的数据使用是通过移动设备进行的。随着物联网变得更加普遍,我们所依赖的技术将被整合到更多种类的设备和通信类型中。
这将使得有效的安全性变得更加重要。
大多数网络攻击过去都集中在入侵组织上。但随着组织更加善于保护其数字资产,我们发现个人使用的技术现在更频繁地成为攻击目标。大多数个人设备的安全性非常糟糕。未来,我们应该期待家庭网络安全变得更加复杂,因为攻击者开发新的方式来通过侵入人们的家庭系统获取权力和获取金钱。
目前,大多数组织的安全措施都太过不足,容易被轻易破坏。这使得提高对组织负责的数字资产和电子数据的保护成为一项优先任务。
从案例研究可以明显看出,被入侵的组织一直缺乏全面、连贯和明智的风险视角。
了解攻击模式的趋势和技术使用的变化也很重要:
- 移动技术占据了一半以上的数据使用量,并且正在增加。
- 期待新形式的恶意软件能够绕过许多防御层,增加对有效防御的依赖。
- 积极监控外部威胁的变化,并相应改进防御。
网络安全是通过防止他们的电子设备被破坏或损害来保护组织和最终人民的,
过多的安全措施可能会使电子环境对组织的客户、供应商和员工使用起来不太吸引人或难以使用。但安全措施太少则很容易削弱对品牌或企业的信心。
技术现在是任何企业的支柱。就像我们为个人保护采取合理的步骤一样,网络安全专业人员和企业所有者也必须采取合理的步骤来保护对他们所服务的组织的运营和生存至关重要的电子数据和数字设备。
如果不能信任和依赖我们的关键技术,我们的组织就无法继续运营、提供服务、保留客户和产生收入,或者(对非营利组织来说)证明机构的价值和存在的合理性。
没有任何网络安全措施可以做到百分之百的防护。(总有一个比你聪明的白痴存在!)然而,采用包括技术、程序和物理控制在内的防御性深度策略,同时创建信息资产、安全控制、风险和漏洞的连贯视图,可以确保任何问题都能够最小化、孤立和管理。
如果你喜欢这个标题,推荐接下来阅读的书是
网络安全揭秘:网络安全规则
造成网络犯罪大幅增加的原因是什么?
是否有一套可以应用来击败它的原则?
了解区块链和增强现实的危险。
十七、网络安全英汉词典
这一部分的更完整版本可作为独立出版物获得。
书中使用的网络安全术语以及可能有用的其他术语都包括在这里。
可接受的使用政策(acceptable use policy)- 描述用户与拥有所访问服务、应用程序或设备的企业之间协议的一套措辞。协议通常定义了主要允许和禁止的活动。
访问控制(access controls)- 用于管理和限制对物理、虚拟或数字区域的进入或退出的规则和技术,通过使用权限。权限通常分配给个人、设备或应用程序服务,以确保使用的责任和可追溯性。权限可以使用(i)物理令牌(something you have)来保护;例如门禁卡,(ii)秘密信息(something you know)来保护;例如密码,或(iii)生物识别信息 - 使用人体的一部分,例如指纹或眼部扫描来获取访问权限(something you are)。参见多因素认证。
高级持续威胁(Advanced Persistent Threats,APTs)- 用于描述黑客使用的顽强且高度进化的一套战术,以通过数字设备渗透网络,并留下恶意软件尽可能长的时间。网络攻击的生命周期通常涉及攻击者进行研究和侦察,准备最有效的攻击工具,获取对网络或目标数字景观的初始立足点,传播感染并调整已经放置的攻击工具的范围,以便最大限度地利用位置。其目的可能是窃取或破坏组织的数字数据,或向组织勒索钱财和/或破坏其运营,以获取经济利益、品牌损害或其他政治目的。这种复杂的攻击形式在攻击者进行的越深入并且他们已经在该位置放置恶意软件的时间越长时,解决起来就越困难和昂贵。这种威胁类型的目标是让入侵者尽可能长时间地保持未被发现,以最大限度地利用入侵所提供的机会 - 例如,长时间窃取数据。另请参见杀伤链。
广告软件(adware)- 任何旨在向最终用户提供广告的计算机程序(软件)。如果(i)用户未同意广告、(ii)卸载或删除困难,或(iii)提供其他隐秘的恶意软件功能,则此类软件可能被视为恶意软件。
空气隔离(air gap)- 使用某种形式的物理和电子分离,以确保一个区域的活动不会影响或感染另一个区域的活动。在网络安全的背景下,描述了如何将敏感或受感染的系统物理和数字上隔离,以确保它们不可能与任何其他系统和网络互动。
警报状态 - 可以分配给安全事件的升级标志,以指示它无法在组织的安全流程所定义的允许时间限制或其他可接受的容忍度内进行管理。
反恶意软件 - 是一种旨在查找指示恶意软件存在或尝试安装的特定文件和行为(签名)的计算机程序。如果检测到,该程序会试图隔离攻击(隔离或阻止恶意软件),如果可能的话,将其删除,并向适当的人员发出关于尝试或恶意软件存在的警报。该程序可以是基于主机的(安装在直接由人们使用的设备上)或基于网络的(安装在信息传递的网关设备上)。旧形式的此类软件只能使用签名文件检测特定预定义形式的恶意软件。新形式使用机器学习并利用包括行为监控在内的其他技术。
反病毒 - 是在恶意软件的性质和类型多样化之前使用的反恶意软件软件的前身。这是一种旨在查找特定文件的存在或安装的计算机程序。如果检测到,该程序会试图隔离攻击(隔离或阻止病毒),如果可能的话,将其删除,并向适当的人员发出关于尝试的警报。病毒只是恶意软件的一种形式,因此反恶意软件这个术语被认为更包容其他形式的恶意软件。然而,由于人们更熟悉术语“反病毒”,有时可以用来描述各种类型的反恶意软件。另请参见反恶意软件和病毒。
应用程序 - 以电子格式(软件程序)存在于一个或多个数字设备上的一组功能和指令的集合,通常旨在创建、修改、处理、存储、检查和/或传输特定类型的数据。有关潜在应用程序,请参见恶意软件。
评估 - 通过收集有关目标(例如应用程序、服务或供应商)的信息,根据特定目标、目标或其他标准对其进行评估。通常,这是通过一个既定且可重复的过程实现的,该过程涉及讨论或回答有关目标能力和方法的问题。其目的是了解目标与预期标准的符合程度,并识别任何差距或缺陷。评估与审计不同,因为它不一定检查响应是否真实,并且不需要由客观第三方执行。可以认为安全评估通常类似于一种咨询性审计,不寻求抓住或证明被检查目标提供的证据是虚假的。
资产 – 具有内在价值的任何物品(物理或数字)。对于网络安全,可以货币化的信息项目(例如知识产权和个人数据集)被视为高价值资产,因为它们具有潜在的转售或勒索价值。
攻击 – 未经授权的入侵发生。
攻击生命周期 – 见网络攻击生命周期。
攻击面 – 可能被用来未经授权地进入数字景观的任何部分的潜在暴露区域的总和。这个区域通常包括外围网络硬件(如防火墙)和 Web 服务器(托管互联网应用程序的硬件)。它还可以包括景观的扩展区域,如外部应用程序、供应商服务和有权限访问信息或有价值服务的移动设备。另见网络防御点。
审计 – 使用一个或多个独立的审查员(审计员)检查目标产品、服务和/或位置是否符合特定的控制标准。这种形式的检查要求测试各个控制以确认其适用性和一致性使用。此类事件的结果,包括发现的任何差距和所需的纠正措施,都将在最终报告中提供。
增强现实 – 将虚拟数字信息层覆盖到真实世界视图上。数字层似乎可能与现实世界交互,但影响仅限于影响沉浸在体验中的用户(或用户)的视角。这与虚拟现实不同,其中沉浸用户只能感知完全人工的世界。高级版本的增强现实可以映射和理解对象和表面,然后似乎允许数字投影与现实世界对象交互,被称为混合现实。另见元宇宙和混合现实。
可用性 – 为一组信息分配一个值,以指示所有者认为可以接受多少破坏或中断。通常,这会被表达或转化为一个时间范围。具有最高可用性评级的数据需要随时可访问(不允许停机),通常通过使用完全冗余的故障转移来实现。信息可用性的值由应用程序或服务的所有者用于设置恢复时间目标。另见完整性 – 一个不同但相关的术语。
后门 – 绕过正常身份验证要求访问软件或设备的隐秘方法。
备份 – (i) 将副本存档以便在中断后恢复的过程。 (ii) 如果主要能力被中断,则具有冗余(次要)能力继续进行流程、服务或应用程序。
生物识别技术 - 将生理特征和属性用作身份验证形式的使用。指纹扫描、视网膜扫描和面部识别都是生物识别的示例。随着新的生物识别选项的出现,打败它们的手段往往紧随其后。因此,生物识别通常只作为多因素身份验证的一部分使用。
黑盒渗透测试 - 用于描述没有提供有关计算机程序技术细节的预先信息给那些正在检查其漏洞的人的情况。执行渗透测试的人没有任何内部知识,因此该术语用于表示对正在检查的“盒子”(程序)内部的可见性不足。
黑帽 - 一种试图未经授权访问一个或多个数字设备并具有邪恶(犯罪或不道德)目标的人。具有不道德目标或无明显道德目标的黑客。
黑名单 - (在网络安全的背景下)指将特定的文件类型、URL 或数据包添加到安全防御程序中,以防止直接访问或使用。例如,可以使用防火墙规则阻止网站域,以确保用户无法通过通常的方式访问该网站。
极限技术 - 使用如此新的发明,它们有可能在变得稳定和安全之前对其人口造成损害。
边界网关协议(BGP) - 是网络上的不同系统可以使用的标准格式,用于共享和决定传输信息的路径(路由)。
机器人 - 是一种设计用于执行特定任务的计算机程序。它们通常是简单、小巧并且设计用于快速执行重复的任务。当程序的目的与组织的目标和需求相冲突时,可以认为机器人是一种恶意软件。另见机器人网络。
机器人牧羊人 - 是一种使用自动化技术寻找易受攻击的网络和系统的黑客。机器人牧羊人的初始目标是安装或找到可以用于实现特定目的的机器人程序。一旦一个或多个机器人到位,黑客可以控制这些程序来执行更大的目标,包括窃取、破坏和/或破坏信息、资产和服务。另见机器人网络和 Mirai(机器人网络的一个示例)。
机器人大师 - 机器人大师的另一种命名惯例。
机器人网络 - 机器人网络的缩写。一组连接的程序,旨在共同在网络(包括互联网)上执行特定目的。这些目的可以是好的或坏的。这种类型的程序有些用于帮助支持互联网连接,而恶意使用包括控制计算机的某些或所有功能以支持大规模服务攻击(参见拒绝服务)。有时将机器人网络称为僵尸军团。
breach notification procedure – 某些类型的信息,一旦被怀疑或已知遗失或被盗,必须按法律规定在规定的时间内向一个或多个当局报告。通常,这种规定适用于个人信息。所需的通知时间段有所不同,但通常是在已知或怀疑的违规事件发生后的 24 小时内。除了向当局报告已知或怀疑的遗失外,负责信息的首席组织(称为数据控制器)还必须迅速通知所有受影响的人,并且随后必须提交(给适当的监管机构)一份完整的根本原因分析以及有关组织如何响应和修复所识别的任何问题的信息。为了满足这些法律义务,较大的公司通常有一个预定义的违规通知程序,以确保满足时间要求。数据违规的罚款通常会根据组织的违规和事件响应管理的适当性而增加或减少。
brute force(攻击)– 使用系统化方法迅速生成大量可能的方法来未经授权地访问计算机系统。例如,自动脚本可以在几秒钟内运行通过大量但有限的可能性,试图猜测给定的八位密码。如果没有其他防御措施,计算速度会使得暴力破解尝试轻而易举地尝试数百万种可能性。对抗这种类型攻击的常见方法是检测和阻止超过几次猜测安全信息的尝试。
buffer overflow – 超出用于在位置之间移动数据时临时存储数据的电子存储器区域。某些形式的恶意软件利用这一过程来攻击电子目标。
Business Continuity Plan(缩写为 BCP)– 一份操作文件,描述了组织如何在发生导致正常运营中断的重大事件时,恢复其关键产品或服务给其客户。
BYOD – 指的是“自带设备”,表示员工和其他授权人员被允许将自己的一些数字设备带入工作场所,用于某些工作目的。一些安全人员也使用这个术语来表示“自带灾难”,因为这种做法引入了大量无法控制的安全变量,这些变量可能使任何允许流向个人设备的信息变得不可控。
CAPA – 意思是纠正预防行动。另请参阅纠正和预防行动系统。
Chief Information Security Officer(CISO)– 任何组织中负责确保适当的框架用于管理对电子和物理信息资产的危险和威胁的单一责任点。
cipher – 使用密钥将信息更改为秘密或隐藏格式。
CISO - 见首席信息安全官。
清箱渗透测试 - 参见白箱渗透测试。
封闭系统 - 一组只能与彼此通信的应用程序、系统和设备。不允许与已知且受信任的组外部分连接。
云(the)- 一个用于识别任何使用由使用者或组织(客户)不直接管理或拥有的软件和设备的技术服务的总称。这通常提供了按需可扩展性的优势,成本更低。示例包括托管在线的应用程序、在线文件存储区,甚至是远程虚拟计算机。使用云意味着管理服务的设备由云提供商而不是客户运行。但是,尽管客户不拥有服务,但他或她仍然对选择通过该服务存储和处理的信息负责。通常,云服务由“aaS”后缀标识。例如- SaaS(软件即服务)、IaaS(基础设施即服务)和 PaaS(平台即服务)。
遵从性 - 用于验证遵守管理项目(政策、程序、法规等)的过程,并识别未遵守的情况。审核、评估和持续监控可用于识别和报告遵从性缺陷。通常会跟踪并通过纠正和预防措施系统解决任何已识别的差距。
保密性 - 为一组信息分配值,以指示所需的机密级别和防止未经授权的人员查看信息的访问限制。保密等级的典型示例包括:(i) 公共使用 (ii) 内部使用 (iii) 保密 (iv) 绝密 和 (v) 限制。
同意 - 当涉及电子个人信息时,通常会有法律限制规定数据的使用方式以及信息可以被查看、存储、传输或以其他方式处理的地点。在这些情况下,通常需要从每个个体那里获取许可,以指定可以收集哪些信息、可以在哪里处理以及保留多长时间。这些权限可以通过单个记录或整个数据集上的一系列标签来表示。需要明确许可的属性可能包括但不限于:原产国、出口许可、使用限制、保留和通知要求。
容器化 - (i) 在单个设备、系统或网络中分区软件功能,足以将其与潜在危害或与同一环境或设备中的其他软件的不良交互隔离开来。 (ii) 将一种技术完全隔离开另一种技术。 对于网络而言,这也被称为网络分割。
隔离 – 在事件响应过程中采取措施将已确认的问题(例如恶意软件感染)隔离,以防止问题扩散到其他领域的阶段。
持续监控 – 使用技术积极监视应用程序、网站或其他电子服务的安全性。其目的是在检测到可能造成潜在风险的重大安全侵犯时提供更快的警报。例如,持续自动监控端口扫描可以检测到可能预示即将发生攻击的模式,并警告适当的人员。
控制 – (在安全和合规性背景下)调节某事物的方法,通常是一个过程、技术或行为,以实现期望的结果,通常导致风险降低。根据设计和使用方式,任何单个控制可能被称为预防、检测或纠正。
控制模式 – 预防、检测和纠正防御方法的总称。每种方法代表不同的时间姿态。预防控制旨在在攻击成功之前阻止攻击,检测控制旨在监视并在潜在妥协期间发出警报,而纠正控制是在事件发生后纠正问题。
纠正控制 – (另见控制)作为对安全性缺陷的观察结果而引入的防御方法。例如,在攻击后增加更大的网络分割可以被视为纠正控制。
跨站脚本(也称为 XSS)– 利用网页生成页面中的安全设计缺陷的安全漏洞。如果来自合法网站的动态页面没有非常严格的规则,用户的设备可能会被第三方利用,呈现出似乎来自合法网站但实际上不是的虚假链接或对话框。XSS 漏洞的一个具体实例被称为 XSS 漏洞。
密码分析 – 检查加密信息以确定如何规避用于编码或隐藏信息的技术的艺术;即分析密码。
加密货币 – 利用加密生成和保护交易单位信任的任何数字货币。这些支付形式通常是去中心化和无监管的,很难追踪货币所有者。这使得加密货币成为网络犯罪和勒索软件的主要支付形式。
网络 – 对于任何使用此前缀的内容,请参见数字设备。
网络攻击 – 利用或针对数字设备的侵略性或敌对行为。预期的损害不仅限于数字(电子)环境。
网络攻击生命周期 - 一个概念模型,描述了成功未经授权的入侵或干扰数字领域或数字设备所涉及的顺序步骤。目前有许多模型可用;常见模型中发现的最常见步骤的例子见高级持续性威胁的定义。也参见杀伤链。
网络防御点 - 可以添加网络安全控制的数字位置。此类防御点的示例包括数据、应用程序、系统、设备和网络。
网络不安全 - 担心你的网络安全弱点会给你个人或专业生活带来伤害。
网络安全 - 保护数字设备及其通信通道,使其保持稳定、可靠且相对安全免受危险或威胁。通常所需的保护水平必须足以防止或应对未经授权的访问或干预,以免导致重大的个人、专业、组织、财务和/或政治损害。在英国,这个术语是由两个词构成的 - 网络安全。
网络安全体系结构 - 见安全体系结构。
网络安全控制类型 - 用于帮助组织对抗网络攻击的类别。通常,这些类别包括(i)技术(ii)程序性(iii)物理性和(iv)合规性(或法律/合同)。每个网络防御点都应考虑并适当地放置所有网络控制类型以防范风险。
网络战士 - 试图未经授权地获取或寻求破坏数字设备、系统或网络的人,出于个人、政治或宗教原因。
深层网络 - 最初指的是公开可访问的电子数据内容,只因其格式或索引而不可读。例如,一个原始的科学数据存储库可能是互联网可访问的,但是没有索引或上下文,它被认为是深层网络的一部分。现在有时候这个术语被用来指意图隐藏的内容,而深网或暗网会更准确。
暗网 - 隐藏其服务器位置的网站。虽然是公开可访问的,但它们没有在标准搜索引擎上注册,而且隐藏的服务器值使得极其困难来确定这些网站背后的组织和个人。
数据 - 存储在电子或数字格式中的信息。
数据泄露通知程序 - 见泄露通知程序。
数据分类 - 将电子信息集合根据其价值、影响、所需保密级别和其他属性分成类别的过程。此分类过程的典型属性包括机密性、完整性(信息无损坏的需要)和可用性。也见信息分类。
数据丢失预防(Data Loss Prevention,简称 DLP)- 该术语既可以描述(i)技术,也可以描述(ii)用于帮助阻止未经适当授权从组织中带走信息的策略。软件技术可以使用启发式(符合某些规则的模式)来识别、警报和/或阻止数字设备上的数据提取活动。例如,DLP 技术可能会禁止通过互联网邮件服务发送特定类型的文件附件。这些技术也可以阻止或监视许多其他尝试移除或复制数据的行为。有些熟练的黑客可以使用规避这些解决方案的检测的变通方法,包括加密和分段。虽然这些解决方案正在成为必不可少的防线,但最安全的环境旨在首先防止任何重要数据集可供出口。因此,数据丢失预防通常被认为是最后一道防线(如果所有其他安全控制都未能成功,则是最后的安全网)。信息丢失预防(Information Loss Prevention,简称 ILP)是该术语的另一种替代版本。
DDoS - 分布式拒绝服务(Distributed Denial of Service)的缩写。请参见拒绝服务的定义。
断头(decapitation)-(在恶意软件的背景下)阻止任何受损设备能够通信,接收指令,发送信息或将恶意软件传播到其他设备。这可以有效地使许多形式的恶意软件无效,因为它消除了任何命令、控制或窃取的利益。这通常是拆除或威胁移除的阶段。
深网(deep web)- 无法被搜索引擎看到的互联网内容。这不仅包括暗网内容,还包括无害的和一般无法索引或普遍无法访问的内容;例如,个人数据库和付费内容。
默认帐户(default accounts)- 通常具有管理员访问权限的通用用户和密码权限,作为某些应用程序和硬件在初始设置期间提供的标准权限。
防御性设计(defense by design)- 确保保护性安全措施从数字化景观中任何组件的最早需求阶段就始终得到包含和嵌入的过程。
深度防御(defense in depth)- 使用多层安全技术来帮助降低成功攻击的机会。其思想是,如果一个安全技术失败或被绕过,那么应该有其他安全技术来应对攻击。关于深度防御的最新(和正确)思考是,安全技术必须同时考虑人和操作因素(例如流程),而不仅仅是技术。
拒绝服务(DoS)- 旨在停止或破坏人们使用组织系统的攻击。通常,企业的特定部分被针对;例如,特定网络、系统、数字设备类型或功能。这些攻击通常来自于并针对互联网可访问的设备。如果攻击来自多个源位置,则称为分布式拒绝服务,或 DDoS 攻击。
侦察控制- (见控制)用于帮助识别可能发生但未被其他手段击败或防止的项目或问题的防御方法。例如,入侵检测系统可能会识别并警告新问题,但可能没有手段在没有额外干预的情况下解决问题。
设备- 用于创建、修改、处理、存储或传输数据的任何硬件。计算机、智能手机和 USB 驱动器都是设备的示例。
数字设备- 任何可以以电子格式创建、修改、存档、检索或传输信息的电子设备。台式计算机、笔记本电脑、平板电脑、智能手机和连接到互联网的家庭设备都是数字设备的示例。
数字取证- 一种专业领域,其中人员帮助保护、重建和恢复电子信息,并在攻击后帮助调查和发现残留证据。另请参阅威胁指标。
数字化景观- 可从特定位置可见或可访问的数字设备和电子信息的集合。
灾难恢复计划- 见技术灾难恢复计划。
分布式拒绝服务(DDoS)- 见拒绝服务。
DLP- 见数据丢失预防。
DoS- 见拒绝服务。
doxxing(也称为 doxing)- 在互联网上公开曝光个人信息。被认为是基于“documenting”一词的缩写。
驶入式下载- 通过互联网页面、电子服务或链接意外地将恶意软件传送到设备上。受害者通常不知道自己的操作允许新的恶意软件被拉到设备或网络上并安装。
逗留时间- 在网络安全的背景下- 这指的是入侵或威胁在被发现和消除之前允许保持的时间长度。入侵和检测之间的时间长短是高级持续威胁的成功程度的指标。虽然逗留时间预计随着网络安全措施的成熟而减少,但平均时间通常是数百天,甚至可能是几年。
动态主机配置协议(DHCP)- 用于网络和互联网上的标准方法,以为任何数字设备分配地址(Internet Protocol,或 IP),以使其通信运行。每次授权的数字设备连接到服务器(主机)时,该地址都由服务器(主机)分配。
窃听- 秘密地监听通信。
员工主导的云采用 - 一种影子 IT 形式,组织内的人员自行开始使用基于互联网的服务,而不经过官方途径评估和配置使用到安全标准。另请参见 BYOC。
加密 - 对消息进行编码的行为,以便如果被未经授权的一方拦截,除非可以解密编码机制,否则无法阅读。
终端点 - 任何可以用于存储或处理信息的电子设备。笔记本电脑、智能手机甚至智能手表都是终端点的示例。
道德黑客 - 渗透测试员的另一个名称。
道德黑客 - 支持(白帽)渗透测试专家协助发现安全弱点和漏洞的过程。
事件 - 参见安全事件。
渗透 - 以足够秘密性移动某物,以免被注意到。用于描述通过检测系统移动被盗数据。
利用 - 利用安全漏洞。知名的利用通常会被命名。成为已知具有名称的利用的受害者可能是低安全性的迹象,例如补丁管理不善。
文件传输协议(FTP) - 用于发送和接收信息包(文件)的标准方法。 SFTP,或安全文件传输协议,是通过加密连接发送和接收数据的安全变体。即使数据通过加密连接发送,数据本身也不会自动加密。
防火墙 - 用于监视和保护入站和出站数据(电子信息)的硬件(物理设备)或软件(计算机程序)。它通过应用一组规则来实现这一点。这些物理设备或计算机程序通常至少部署在每个网络访问点的边界上。软件防火墙也可以部署在设备上以增加进一步的安全性。防火墙内应用的规则称为防火墙策略。先进的防火墙通常配备其他更统一的威胁管理特征。
防火墙策略 - 在物理硬件设备(硬件防火墙)或软件程序(软件防火墙)内应用的规则,以允许或阻止网络或数字设备边界上特定类型的入站和出站数据流量。
取证 - 参见数字取证。
治理 - 任何执行者用来使其组织与管理目标保持一致并符合可接受绩效标准的方法。通常通过建立与企业愿景、战略和风险承受能力相匹配的政策、程序和控制措施来实现。
治理、风险和合规性 - 用于描述控制任何组织(治理)、验证和执行这些控制(合规性)以及管理由此产生的任何财务影响的实质性敞口(风险)之间的相互作用和相互依赖的活动的术语,通常是由于(i)或(ii)中的差距。
黑客 - 试图未经授权访问一个或多个数字设备的人。 黑客可以是黑帽(不道德的)或白帽(道德的)黑客,这取决于个人的意图。
骇客活动 - 骇客和活动主义这两个词的合并。 描述未经授权访问任何数字设备或数字景观以推动社会或政治议程的行为。 通常未经授权的访问用于造成破坏、干扰和/或宣传。 参与这些行为的个人被称为骇客活动分子。
骇客活动分子 - 骇客和活动家这两个词的合并。
蜜罐网络 - 一组蜜罐的集合,它们共同运作以帮助构建网络入侵检测策略的一部分。
蜜罐 - 一个电子设备或数据的集合,旨在通过检测、偏转或以其他方式对抗他们的努力来诱捕潜在的攻击者。 设计成看起来像企业攻击表面的真实部分,蜜罐不会包含对攻击者有实际价值的东西,但会包含用于识别、隔离和追踪任何入侵的工具。
基于主机的 - 描述一种情况,即某物立即安装在它所保护、服务或颠覆的设备上。
基于主机的入侵预防系统(HIPS)- 安装在所保护的数字设备上的入侵预防系统的一个版本。 有关其目的的描述,请参阅入侵预防系统。
超文本传输协议(HTTP)- 是用于在万维网上发送信息(文件、图片和其他数据)的标准方法。HTTPS 或 SHTTP 是这个协议的安全版本,当信息需要安全连接时可以使用。 有传言称一些组织已经或可能很快能够破解 https/shttp 的安全性。
IAM - IDAM 首字母缩写的另一种版本。 请参阅 IDAM。
IDAM - 身份与访问管理的首字母缩写。 用于管理、确认、监视和控制经授权账户对系统的合法访问的一系列流程和技术。 这包括确保每个访问请求来自已验证、预期和合法的人员或实体的措施。
身份和访问控制 - 规范每个人员和计算机服务如何确认其声称的身份(身份验证)以及如何监视其权限的方法。 也请参阅 IDAM。
身份与访问管理 - 请参阅 IDAM。
事件 - 见安全事件。
事件响应 – 一套事先准备好的流程,应在发生任何已知或疑似可能对组织造成实质性损害的事件时触发。典型的阶段包括(i)验证事件是否真实并确定受影响的区域,(ii)控制问题(通常是通过隔离、禁用或断开受影响的部分),(iii)了解并根除根本原因,(iv)将受影响的组件恢复到固定状态,以及(v)审查流程的进展,以确定应该进行的改进。如果有任何信息遗失并受到通知要求的信息,则可能还需要触发其他响应程序,例如违反通知程序。例如,除了电话簿条目中可能找到的信息外,任何个人信息的丢失通常被视为可通知事件。
感染 – (在网络安全的背景下)外部代理人的不受欢迎的侵入,攻击者利用这种侵入造成损害或中断。
信息分类 – 为了更好地理解知识集与其他知识集的相似性,将一个或多个值分配给知识集的过程。对于信息安全来说,这通常是通过对机密性、完整性和可用性或 CIA 分配值来实现的。在知识集包含私人信息的情况下,有时还会使用第四类别,即同意。然后,可以使用这些类别的分配来更轻松地选择适合于信息价值和影响的安全性和恢复方法。数据分类是信息分类的一个子集,因为它仅包括电子信息,而信息分类包括任何形式的信息,包括纸张和其他物理格式。
信息系统 – 参见系统。
固有风险 – 在考虑任何缓解控制措施之前,损失的暴露水平或某事物的影响程度。例如,在系统中持有信用卡数据会给系统带来固有风险。参见剩余风险。
完整性(integrity)- 是可以分配给一组信息的值,用于指示其对准确性降级(如未经授权的修改)或数据丢失的敏感程度。在此上下文中,丢失是指失去信息,而无法从输入系统中的系统中恢复(而不是指盗窃)。通常,这个值会被表达或转化为时间的范围。例如,具有最高完整性评级的数据可能被赋予“不允许数据丢失”的值。如果允许丢失最多 4 小时的已处理数据,该值将为“4 小时”。通常,如果允许任何数据丢失,这意味着将有其他流程来处理电子信息的丢失。分配给任何系统或应用程序的完整性值用于设置信息受到备份的频率,或在非常敏感的系统中,不允许数据丢失,建立需要永久性的次要故障转移系统的需求。
物联网(Internet of Things,IoT)- 将电子设备整合到日常物品中,使它们能够与其他网络设备进行网络(通信)连接。例如,将电子设备整合到家用恒温器中,以便它可以通过网络连接与智能手机或其他网络设备进行操作和共享信息。
互联网协议(Internet Protocol)- 是用于在网络上发送或接收信息的一组规则,包括有关源、目的地和路由的信息。每个电子位置(主机)都有一个唯一的地址(IP 地址),用于定义源和目的地。
入侵检测和防御系统(IDPS)- 是监视和检查通过它们的电子通信的计算机程序,其目的和能力是(i)阻止和记录(记录)任何已知的恶意或其他不受欢迎的信息流的关键信息,并(ii)记录和提醒任何其他被怀疑(但尚未确认)具有类似性质的流量。这些通常放置在通信路径中,以允许 IDPS 通过丢弃或阻止数据包来防止不受欢迎的信息进入或离开网络。IDPS 还可以清理一些电子数据,以消除任何不受欢迎或不需要的数据包组件。
入侵检测系统(IDS)- 是监视和检查通过它们的电子通信的计算机程序,其目的是检测、记录和提醒任何可疑的恶意或其他不受欢迎的信息流。IDS 是入侵检测和防御系统的一种变体,因为它们没有阻止活动的能力;它们只是监视、检查和提醒。
入侵防御系统(IPS) - 请参见入侵检测和防御系统。与 IDPS 相比,IPS 略有变化,它们可能不收集任何检测信息,可能仅根据直接规则或指令阻止(阻止)不需要的流量。
按键记录 - 一种恶意软件形式,用于记录和披露数字设备上的输入。这种类型的恶意软件经常用于收集信用卡详细信息、用户身份和密码。
杀链 - 一个概念性的网络防御模型,将攻击的结构作为构建网络防御策略的模型。高级持续性威胁中的各个阶段通常被用作框架,考虑到每个阶段的网络防御策略(检测、拒绝、干扰、降级、欺骗、遏制)。该模型基于这样一个前提,即攻击能够在生命周期的早期被检测和击败,产生的成本和损害就会更低。该模型可以是防御策略的有用补充,但也存在固有的缺陷;例如,它对内部组织网络效果最佳,但在应用于防御范围之外的信息时效果较差。然而,该模型确实非常成功地强调了网络攻击在网络攻击生命周期较早被识别时所造成的成本要低得多。
法律控制 - (在网络安全的背景下)利用立法来促进和投资于积极的安全方法,并且用于阻止、惩罚和纠正侵权行为。
逻辑炸弹 - 一种恶意软件(恶意软件),只有在满足特定条件时才开始运行。例如,如果达到特定日期。
日志管理 - 管理大量计算机生成的文件的方法,例如事件日志和审计跟踪,以便适当地捕获、汇总、分析和归档它们。
恶意软件 - 恶意软件的缩写。用于描述可以插入数字设备的破坏性、颠覆性或敌对性程序的术语。人们可以有意或无意地使这些类型的程序有害。有意为有害的版本通常伪装或嵌入在看似无害的文件中,以便使用它们的攻击者有意地损害设备。某人不打算有害的恶意软件仍然可以干扰设备或泄漏信息;然而,有害的特性可能是由于无意间差的制作质量、糟糕的设计或不安全的配置导致的。有许多类型的恶意软件;广告软件、僵尸网络、计算机病毒、勒索软件、恐吓软件、间谍软件、特洛伊木马和蠕虫都是有意的恶意软件的例子。黑客经常使用恶意软件发动网络安全攻击。
主引导记录 - 任何电子设备上的第一个扇区,定义了在初始化或重新启动时应加载哪个操作系统。
实质性 - 具有一定程度的重要性或大小,值得关注。
变形恶意软件 - 一种更复杂的恶意软件形式,每次安装时都会更改其代码的所有关键部分。与多形恶意软件相比,变形恶意软件使用的转换技术较少,因为多形恶意软件通常只更改其配置文件的一些关键部分,但保留相同的核心病毒。
移动设备管理(MDM) - 用于安全控制平板电脑和智能手机等移动设备的操作和使用的技术。能够(例如)远程擦除移动设备上的信息,并控制允许安装或运行哪些应用程序和功能。
摩尔定律 - 由戈登·E·摩尔于 1965 年创立。它指出,在计算历史上,计算机的处理能力大约每两年翻一番。
多因素身份验证 - 使用多种形式的证据来确认试图请求访问的人员或设备的身份。通常有三种不同类别的身份验证类型:(i)你所知道的东西[通常是密码](ii)你所拥有的东西[可能是安全令牌或访问卡]和(iii)你所是的东西[生物识别的使用;例如指纹或面部识别]。例如,有效的双因素身份验证要求在请求访问时,至少需要来自两个不同类别的证据。
纳米技术 - 通过操纵原子和分子大小的物品制造的极小产品和设备。
NAS - 网络附加存储的缩写。连接到网络的数字存储库,可以存储信息。
网络 - 一组用于连接、传输、广播、监视或保护数据的设备、布线和应用程序的集合。网络可以是物理的(使用物质资产如布线)或虚拟的(使用应用程序创建设备或应用程序之间的关联和连接)。通常,网络上的设备将具有某种可信的权限,允许它们传递和共享电子信息包。
基于网络 - 描述一种情况,其中安装了某种东西来保护、服务或颠覆连接、传输、广播、监视或保护信息(网络)的设备、布线和应用程序社区。
基于网络的入侵防范系统(NIPS) - 见入侵防范系统。
网络分割 - 将连接、传输、广播、监视或保护数据的单个设备、布线和应用程序集合分割成较小的部分。这允许对每个部分进行更离散的管理,允许在价值最高的部分应用更高的安全性,并且在恶意软件感染或其他破坏性事件发生时允许影响较小的部分。
OWASP – 开放网络应用安全项目是一个在线社区,旨在创建免费的公共资源,以帮助提高软件安全性。例如,他们维护领先的漏洞和安全控制列表。
packet – (在电子通信的背景下)是一组电子信息的捆绑,用于传输。该捆绑通常包括控制信息,用于指示目的地、来源和内容类型,以及内容(用户信息)本身。
packet-filtering – 根据特定规则传递或阻止入站或出站的电子信息捆绑。例如,如果已知威胁使用特定大小、格式和数据包(packet)类型,则可以在高级防火墙或类似设备上设置规则,以阻止符合这些参数的内容离开或进入网络。另请参见 packet。也称为内容过滤。
patch management – 一种控制过程,用于在数字设备上部署关键的临时软件更新。发布软件“补丁”通常是为了应对已经确定的关键缺陷或漏洞。未能及时应用新的临时软件更新可能会留下安全漏洞。因此,及时应用这些更新(补丁管理)被认为是维护有效网络安全的关键组成部分。
penetration test(也称为攻击和渗透测试或 pen. test)– 对任何应用程序、系统或网站进行检查和扫描,以识别可能被利用的潜在安全漏洞。一旦确定了漏洞,这个过程就会继续确定这些漏洞可能在攻击中被利用的程度(渗透可能性)。通常这些检查是在一个测试区域进行的,并模拟攻击者可能使用的相同技术。这是为了防止任何无意的运营中断。这些检查通常在任何应用程序或网站首次使用之前进行,也会定期(重复)进行;例如,每次程序更新或每 6 个月。任何重大漏洞必须在适当的时间范围内得到解决。不要与漏洞评估这个术语混淆,漏洞评估只识别漏洞而不检查它们如何被利用。另请参见枢纽。
penetration tester – 一名代表拥有或控制目标系统或应用程序的组织执行模拟攻击尝试的人员。另请参见渗透测试和枢纽。
persistence – 尽管受到反对,仍寻求持续存在。
personally identifiable information (PII) – 任何组合的信息,可以直接或间接地区分(识别)特定个人是谁。
幻觉震动 – 当你认为你感觉到智能设备震动,但发现它并没有震动,或者当你意识到你身体的某个区域现在没有智能设备时。
钓鱼 – 使用电子通信(例如电子邮件或即时消息),假装来自合法来源,试图从接收者那里获取敏感信息(例如密码或信用卡号码)或在接收者设备上安装恶意软件。钓鱼中使用的方法已经发展,以至于消息可以简单地包含一个指向恶意软件所在的互联网位置的链接,或者可以包含一个附件(例如 PDF 或 Word 文档),在打开时安装恶意软件。然后,恶意软件可以用于运行任意数量的未经授权的功能,包括从设备中窃取信息、复制其他可访问位置的附加恶意软件、共享用户屏幕和记录用户输入的键盘输入。较不复杂的钓鱼形式可以鼓励接收者访问一个虚假但令人信服的网站版本,并透露密码或其他详细信息。
物理安全 – 旨在阻止、预防、检测或警报未经授权的现实世界对站点或物质项目的访问的措施。
PII – 见个人身份信息。
枢轴 – 渗透测试人员和攻击者使用的一种方法,利用渗透点作为更容易访问、感染和/或攻击其他系统和网络的路径。
政策 – (i) 一个高层次的意图声明,通常是一个简短的文件,提供组织遵循的原则指导。例如,一个基本的安全政策文件可以描述企业确保他们负责的所有信息的位置(物理和电子)必须免受任何未经授权访问的意图。政策通常不描述用于实现或执行其表达的意图的明确机制或具体指令;这将在程序中描述。(ii) 或者,它也可以用来表示软件程序或操作系统内部的设置(包括安全设置)。
多态恶意软件 – 可以改变其属性以帮助避免被反恶意软件检测的恶意软件。这种变异过程可以自动化,使软件的功能继续,但操作方法、位置和其他属性可能会发生变化。另请参见变形恶意软件。
端口号 – 作为电子通信的一部分,用于表示正在使用的通信方法。这使得数据包可以被定向到一个程序,该程序将知道如何处理它。
端口扫描 – 通常由计算机运行的过程,用于检测可以用于渗透或渗透企业内部电子信息的开放访问点(端口)。
预防控制 – (参见控制)一种安全防御方法,用于在问题变得棘手之前阻止其发生。例如,多因素身份验证有助于阻止未经授权的访问,因此被视为一种预防控制。
特权账户 – 具有提升权限的电子用户访问权限,允许其执行系统、应用程序、数据库或其他数字景观管理功能。通常,这种形式的访问需要额外的控制和监督,以确保提升的权限是完全可追溯的,不被滥用。大多数形式的网络攻击都试图获得这种形式的访问权限,因为这些类型的账户对其数字景观具有控制权。
特权账户管理 – 用于监视和控制特权账户活动的系统、技术和流程。
程序 – 提供关于应该使用的过程(方法)的指导或具体说明,以实现一个目标。传统上以文件形式提供给适当的人员,但越来越多地被内置到计算机系统中以执行所需的步骤。在传统的质量模型中,程序可能作为明确的指示,位于政策下,用于实现特定政策目标。另请参见政策定义(i)。
程序控制 – 在一系列必需步骤中的指示,限制某物的使用方式或不允许使用。
协议 – (在电子通信的背景下)是一组既定规则,用于在不同的电子位置之间发送信息。协议提供了一个标准,可用于以预期和可理解的格式发送或接收信息,包括有关源、目的地和路由的信息。协议的示例包括互联网协议(IP)、超文本传输协议(HTTP)、文件传输协议(FTP)、传输控制协议(TCP)、边界网关协议(BGP)和动态主机配置协议(DHCP)。
代理服务器 – 是用于在请求的交易和其目的地之间提供中间服务的程序。它可以调整一些信息,以帮助确保发送者的匿名性。此外,它可能会存储(缓存)经常访问的任何信息,以帮助加快响应时间。
勒索软件 – 一种恶意软件(恶意软件),阻止或限制一个或多个数字设备或应用程序的使用,或者在支付一笔钱之前使一组电子数据无法阅读。
红队 – 在测试可能影响任何关键或敏感系统、基础设施或网站的潜在漏洞时,通常会使用一组渗透测试人员。这个术语用于描述一组渗透测试人员共同致力于这种类型的目标。
残余风险 - 指在为一项事项应用安全控制(风险应对)后仍存在损失和影响的可能性。
弹性 - 在面临威胁或危险时保持功能和能力的能力,或者在任何干扰后迅速恢复功能。
风险 - 涉及暴露于重大影响或损失的情况。在正式框架中,风险可以使用概率(通常表示为百分比)和影响(通常表示为财务金额)来量化。风险的其他参数可以包括接近性(潜在风险可能遇到的时间,以及可能受到影响的资产、服务、产品和流程的信息)。
风险评估 - 一种系统性过程,用于主动检测现有或计划中活动、资产、服务、应用程序、系统或产品中潜在危险或差距。
基于风险 - 一种考虑故障的财务影响、概率和接近性,以确定其比较重要性和优先级以供处理的方法。
风险登记 - 包含每个潜在重大损失或损害暴露的条目的中央存储库。通常,存在最低物质性门槛;例如,必须达到或超过一个最低潜在财务损失值才需要在存储库中记录条目。如果风险确实发生,从技术上讲,它就变成了问题(而不是风险)。在成功管理影响并解决根本原因的程度足以使风险不太可能再次发生之前,项目可以继续在风险登记中跟踪。
流氓软件 - 见恐吓软件。
rootkit - 一组软件工具,攻击者可以使用它们来获得目标设备核心(根)的特权访问和控制,从而更容易运行命令。rootkit 的功能通常包括隐藏恶意文件和进程,以帮助避免检测和删除恶意软件。
恐吓软件 - 设计用于说服人们购买计算机感染的解毒剂的恶意软件。通常伪装成商业恶意软件清除工具或防病毒软件包,但实际上是由攻击者提供的。
脚本兔子 - 见脚本小子。
脚本小子 - 缺乏编码(编程)或技术技能的攻击者,利用现有脚本、代码和软件包来未经授权地访问数字设备、应用程序、系统和/或网络。也称为脚本兔子和 skiddies。
安全配置 - 确保在应用设置到任何项目(设备或软件)时,始终采取适当步骤以确保(i)删除或禁用默认帐户,(ii)不使用共享帐户,以及(iii)项目中的所有保护和防御控制使用最强适当的设置。
安全文件传输协议(也称为 SFTP) - 见文件传输协议(FTP)。
安全超文本传输协议(SHTTP)- 请参见超文本传输协议。
安全架构 - 设计用于指定数字景观中的特性和控制的模型,以帮助防止、检测和控制任何试图干扰或未经授权访问的企图。该模型还确保所有数据交换都符合适当的标准,足以确保数据控制者的责任链承诺得以维持。
安全事件 - 用于描述被认为是无意的数字景观的轻微干扰的术语。例子包括单个失败的设备或单个用户忘记自己的密码。安全事件的异常模式可能是安全事件的指示器。
安全事件 - 故意损坏、盗窃和/或未经授权访问,直接或间接影响组织的任何重要部分,包括信息、系统、设备、服务或产品。
安全事件与事件管理 - 请参见 SIEM。
安全事件响应者 - 协助对已知或疑似对组织信息系统或服务进行损坏、中断或未经授权访问的任何企图进行初步分析和响应的人员。
shell - 任何数字设备操作系统内的用户界面。大多数网络攻击者试图获得对他们试图破坏的设备的这种特权级别的访问。
shell 访问 - 具有命令级别权限,可以对电子设备进行执行控制的权限。
SIEM - 安全事件和事件管理的缩写。这是一个名称,用于管理企业数字景观的任何形式的轻微或重大中断的过程和团队。
单点责任(SPA 或 SPOA) - 所有关键资产、流程和行动必须具有清晰的所有权和可追溯性到一个人的原则。其理由是,未定义的、单一的所有者是流程或资产保护失败的常见原因。共同所有权被认为是一个重要的安全漏洞,因为持续存在多于一个人负责的安全漏洞的概率增加。
签名 - (在网络安全的背景下)是唯一的属性 - 例如,文件大小、文件扩展名、数据使用模式和操作方法 - 用于识别特定的计算机程序。传统的反恶意软件和其他安全技术可以利用这些信息来识别和管理某些形式的恶意软件或通信。
奇点(the) - 预测的时间点,人工智能超过人类智能。
skiddie - 脚本小子的缩写形式。
社会工程学 - 构建关系、友谊或其他人类互动以引诱收件人执行动作或透露信息的行为。进行社会工程学的个人使用受害者的行动或信息来实现隐藏目的,例如获取关于资产安全、位置或易受攻击性的情报,甚至获取个人的信任以打开导致创建恶意软件立足点的 Internet 链接或文档。
软件程序 - 见应用程序。
鱼叉式网络钓鱼 - 一种更加有针对性的网络钓鱼形式。该术语描述了利用电子通信(例如,电子邮件或即时通讯)针对特定人或一组人(例如,某个地点的员工)的情况,并假装来自合法来源。在这种情况下,发送者也可能假装是收件人熟悉并信任的人,试图获取敏感信息(例如,密码或信用卡号)。
欺骗 - 通过冒充或其他手段隐藏电子信息的真实来源。常用于通过假装源自受信任位置来绕过 Internet 安全过滤器。
间谍软件 - 一种秘密收集和传输设备信息的恶意软件形式。
SSL - 是安全套接层的缩写。这是一种在数字环境中提供加密通信的方法(协议)。例如,这可以在网络服务器(托管网络服务或网站的计算机)和网络浏览器(收件人用于查看网页的程序;例如,Internet Explorer)之间进行。在 URL(用户可见的 Internet 地址)中,使用 SSL 的使用由“https:”前缀表示。
堆叠风险 - 是允许似乎分离的具有潜在影响的潜在问题(风险)在相同数字环境中积累的现象。如果没有足够的识别和解决,个别风险可能形成一系列问题的有毒积累,可以一起利用以创建比个别组件所暗示的风险大得多的风险。超大规模数据泄露通常是堆叠风险与有动机攻击者结合的结果。
有状态协议分析检测 - 是一种入侵检测系统用来识别恶意或不需要的通信的方法。该方法分析数据包以确定源、目的地、大小和路由(协议)是否与其通常格式显着不同。
统计异常检测 - 是一种一些入侵检测系统用来识别恶意或不需要的通信的方法。该程序审查其收集的指标,以识别任何异常或不寻常的通信行为群组。
结构化查询语言注入(SQL injection)– 一种利用 Web 表单中的安全设计缺陷的安全漏洞形式。在一些网页中,有用户可以填写的表单。如果一个 Web 表单不充分验证(检查)返回给它的信息的内容,攻击者可以创建比预期更长的条目,其中包括允许未经授权和意外值进入数据库的命令。后果可能是数据库和交易的损坏。
系统(systems)– 一组共同运行以实现更复杂目的的应用程序。
关闭(takedown)– (i)防御组织通过剥夺其执行功能的能力使恶意软件失效的过程;例如,通过斩首。 (ii)攻击者使组织的一些或全部关键系统或能力不可用的过程。 (iii)使某事停止工作。
技术控制(technical control)– 使用电子或数字方法来影响或指挥数字设备如何使用或不能使用的行为。例如,去除智能手机中剪切或粘贴信息的能力就是一种技术控制的例子,可以用来降低安全风险。
技术灾难恢复计划(Technical Disaster Recovery Plan)– 一份操作性文件,描述了将任何电子或数字系统恢复到由业务连续性计划定义的时间轴内所需的精确流程、人员、信息和资产。如果有多个业务连续性计划引用相同的技术灾难恢复计划,使用的恢复时间必须满足任何文件中指定的最短时间。
威胁 – 数字领域潜在危害的任何来源。
威胁行为者(threat actors)– 一个总称,用来描述从事网络攻击的人和组织的集合。威胁行为者的例子包括网络犯罪分子、黑客活动人士和国家机构。
威胁情报(threat intelligence)– 关于可能发生的敌对行动的信息的整理,以及对它们相对概率的理解。
威胁景观(threat landscape)– 参见威胁态势。
威胁态势(threatscape)– 将威胁(threat)和态势(landscape)结合的一个术语。一个总称,用来描述组织或个人可能预期被攻击的整体、预期的方法(向量)和类型的网络攻击者。
传输控制协议(TCP,Transmission Control Protocol)– 用于网络,包括互联网,发送和接收保持原始顺序的无误数据的标准方法。
传输层安全性协议(TLS,Transport Layer Security)– 用于允许两个数字位置之间进行安全通信的加密协议(一组规则)。它是安全套接字层(SSL)协议的后继者,但通常被称为 SSL 协议。它是一种对称加密形式。
木马 - 一个表面上看起来无害,但实际上隐藏并促进其他未见过的恶意和未经授权的软件程序和活动的应用程序(软件程序)。
两因素身份验证 - 见多因素身份验证。
未经授权访问 - 未经允许进入。
不幸的是 - 指本意是为了达到一个目标,但结果却非常负面。
统一威胁管理(UTM) - 一种集成大量安全技术和服务的安全设备。例如,一个单一的网关设备,包括代理防火墙、入侵防御、网关防恶意软件和 VPN 功能。
URL - 统一资源定位符的缩写。这实际上是可以找到特定目标的地址(或路径)。例如,Google 网站的主地址是 http://www.google.com
USB - 通用串行总线的缩写。这是一种标准连接器,存在于大多数计算机、智能手机、平板电脑和其他物理电子设备上,允许连接其他电子设备。用于连接各种设备,包括键盘、鼠标、外部显示器、打印机和外部存储设备。
向量 - '方法’的另一个词,如“他们使用了多个向量进行攻击。”
虚拟桌面 - 模拟个人计算机功能的虚拟机。见虚拟机。
虚拟机 - 一台具有可以运行应用程序但实际不存在的操作系统的计算机。虚拟机不是在专用的物理硬件上运行,而是一组软件和配置文件。多个虚拟机可以存在于单个物理机上,或者单个虚拟机可以通过使用超级管理程序存在于多个物理机上。虚拟机通常用于安全目的,因为它们快速清理、易于设置,并且有助于隔离威胁。
虚拟专用网络(VPN) - 一种在公共(或不安全)基础设施上提供安全连接的方法;例如,在酒店中设置一个远程公司笔记本电脑与主公司网络之间的安全链接。
病毒 - 一种通过感染(附加到)其他文件传播的恶意软件形式,并且通常寻求机会继续这种模式。病毒现在比其他形式的恶意软件更不常见,但在非常早期的计算中是主要的恶意软件类型。因此,当技术上应该是另一种形式的恶意软件时,人们经常称之为病毒。
漏洞 - (在网络安全的背景下)一种弱点,通常是在软件(包括操作系统)的设计、实施或操作中,可能会受到损害或危害的弱点。
vulnerability assessment – 对计算机、软件应用程序、网络或数字景观的其他部分中的安全漏洞的识别和分类。这通常是一种被动的识别技术,仅旨在识别漏洞,而不探索这些漏洞如何被利用。这不应与渗透测试混淆,后者可能包括来自漏洞评估的信息,但将继续探讨如何利用任何漏洞。
water holing – 一种网络攻击方法,用于识别一组目标经常访问的位置,目的是用恶意软件感染它们。
web browser – 用户在其设备上用于查看网页的程序。网页浏览器程序的示例包括 Internet Explorer 和 Firefox。
web server – 用于托管(提供)Web 服务或网站的计算机。
wet wiring – 在人类神经系统和数字设备之间建立连接。
white-box testing(也称为 clear-box testing)– 描述一种情况的术语,即被测试的计算机程序的技术布局(或源代码)已经提供用于安全测试。这使得测试更容易、更便宜,但通常会导致识别出比黑盒渗透测试更多的问题。白盒测试可以在软件生命周期的早期开始,甚至在应用程序尚未安装在任何生产环境中之前,从而使安全修复变得更加便宜和容易。
white-hat – 一种安全专家,通过拥有者的邀请(并获得许可)并且仅使用道德手段,并且旨在识别需要解决的任何安全漏洞来侵入系统或网络。
white-listing – 将“允许”的 Internet 站点或数据包限制为经过验证的来源的显式列表。例如,操作白名单防火墙的组织可以决定仅允许其网络用户导航到受限且经过验证的 Internet 网站列表。这与黑名单相反。
white team – 在红队和蓝队之间进行的任何道德黑客活动中担任裁判的人员。
Wireless Intrusion Prevention Systems(WIPS)– 可以附加到网络以检查无线电频谱以查找流氓或其他未经授权的访问点,并且然后采取措施来帮助关闭威胁的设备。
worm – 一种恶意软件(恶意软件)形式,旨在寻找其他可以复制到的位置。这有助于保护恶意软件免受删除,并增加受攻击面的面积。
XSS – 见跨站脚本。
XSS hole – 见跨站脚本。
零日(zero-day)- 指的是新型漏洞利用或新型恶意软件被发现的第一时间。此时,没有任何防病毒、反恶意软件或其他防御措施可以抵御新形式的攻击。
僵尸网络军(zombie army)- 见僵尸网络(botnet)。