北京2020年7月17日 /美通社/ -- 隨著MicroSolved更新了80/20網絡安全法則�����,近日,北京天地和興科技有限公司分析并研究了網絡安全法則定律��,從而幫助企業(yè)更好地應用網絡安全控制����。
早年間,美國聯邦政府花費了巨大精力�����,在各部門不同網絡安全專家間達成共識��,以確定現代計算機和網絡環(huán)境中有效的網絡安全控制����,形成了20項最重要的持續(xù)網絡安全執(zhí)法控制措施,即共同審計指南�����。與此同時����,美國聯邦政府也鼓勵網絡安全專業(yè)人員對該指南進行改編及思考。2009年����,美國網絡安全公司MicroSolved發(fā)布了其80/20網絡安全法則,旨在為中小型組織提供最實惠的安全控制項目�����,只需花費通常組織20%的開銷���,就能獲得80%的安全效果����。隨著網絡安全態(tài)勢的快速變化�,原有13條安全法則難以適應新的形勢發(fā)展。對此���,MicroSolved更新了其80/20法則����,該最新版本的法則包含:維護完整的當前網絡資產清單����、實施全面的配置控制程序���、實施全面的安全維護計劃、實施全面的變更控制程序��、實施基本的內部威脅建模和風險評估���、持續(xù)安全評估��、實施日志記錄和監(jiān)視�、實施網絡分段�、執(zhí)行和維護書面的網絡安全計劃、實施安全意識和培訓計劃���、招聘���、培訓和實施事件響應團隊、在網絡上盡可能使用MFA���、部署合理的加密技術���。
80/20法則又稱帕累托法則、二八定律�����,由意大利經濟學家維爾弗雷多·帕累托在19世紀末20世紀初發(fā)現的�。他認為,在任何一組東西中��,最重要的只占其中一小部分��,約20%�,其余80%盡管是多數,卻是次要的�����,因此又稱二八定律��,被廣泛應用于社會學及企業(yè)管理學等���。該法則認為����,原因和結果�����、投入和產出、努力和報酬之間存在著無法解釋的不平衡��,如80%的結論源自20%的起因����、80%的產出源自20%的投入、80%的收獲源自20%的努力�。該法則說明少量的原因、投入和努力會有大量的收獲���、產出或回報�,只有幾件事情是重要的�,大部分都微不足道。該法則的主要用途是去發(fā)現該80/20關系的關鍵原因���,如20%的投入就有80%的產出���,并在取得最佳業(yè)績的同時減少資源損耗。當將該法則應用于網絡安全領域時����,又會有什么結果呢�?
2009年���,由于人們認為《聯邦網絡安全管理法》(FISMA)過于繁瑣��,且無法有效保護私人信息的機密性、完整性和可用性��,為此美國聯邦政府做出了巨大的努力��,在來自各個部門的不同網絡安全專家組之間達成共識���,以確定在現代計算和網絡環(huán)境中哪些網絡安全控制最有效����。這項工作的成果是��,發(fā)布了20個最重要的持續(xù)網絡安全執(zhí)法控制措施:共識審計指南(Consensus Audit Guidelines)��。同時�����,還激發(fā)了組織和網絡安全專業(yè)人員對本指南的可能變化和改編的思考���,其中之一���,就是由美國網絡安全公司MicroSolved發(fā)布的80/20網絡安全法則(2009)���。
雖然該法則與共識審計指南非常相似,但該80/20法則的重點是建立一組安全控制項目���,為沒有聯邦政府或其他大型組織資源的中小型組織提供最“實惠”的安全控制項目���。該法則的靈感來自于帕累托原理,當應用于網絡安全控制時��,意味著一個組織可以僅花費通常消耗的20%的資源�����,就可以實現80%的安全結果��。
該2009版本的80/20法則包含以下13個安全項目:資產����、數據流和信任關系映射;進行基本的風險評估和威脅建模�����;對所有網絡攻擊面的持續(xù)評估;最小化攻擊面��;實施出口過濾��;實施隔離計算���;創(chuàng)建異常檢測功能;定義正式的策略和過程���;進行安全意識計劃�����;加強資產和新系統(tǒng)�����;招聘��、培訓和實施事件響應團隊����;識別安全技能差距并培訓員工;部署合理的密碼學���。
然而自2009年以來��,網絡安全形勢發(fā)生了變化���,情況有所改變。因此����,MicroSolved更新了其80/20法則,以更好地符合當前環(huán)境��,盡管新版本中許多安全項目仍保持相同��。MicroSolved 80/20網絡安全法則(2019)的安全項目列表如下:
1���、維護完整的當前網絡資產清單
與以前的80/20法則版本中的第一個項目幾乎相同����。研究人員認為清單控制是20大建議中的第一控制措施���。完整的清單不僅可以幫助避免遺留未維護的遺留系統(tǒng)的危險����,更重要的是,它還可以實現其他重要的安全項目����,例如安全維護、配置控制��、訪問控制等��。
2�����、實施全面的配置控制程序
為了適當地增強網絡抵抗攻擊能力�����,必須安全地配置所有網絡資產(軟件/固件應用程序���、操作系統(tǒng)和設備)。這應該根據通用的基線配置策略來完成��。為了確保正確配置所有網絡資產���,需要完整且最新的清單���。
3����、實施全面的安全維護計劃
安全維護需要監(jiān)視安全和供應商站點是否存在影響網絡資產的漏洞����,然后確保必要時對其進行修補、更新或替換����。有必要將此過程與庫存控制聯系起來,以確保包括所有資產���。
4����、實施全面的變更控制程序
安全漏洞通常是由于對網絡安全設置未進行維護或進行考慮不周的更改而引起的�。例如,將與內部網絡的直接連接授予第三方�,以允許進行必要的工作,但是在完成工作后不會將其刪除。攻擊者經常使用這種攻擊載體來獲得專用網絡的訪問權限����。變更應完全記錄在案,并應計劃還原到以前的狀態(tài)��,以防出現無法預料的問題�����。如前所述�����,變更控制過程應與庫存控制��、配置控制和安全維護聯系相聯系��。人員和流程之間的這種通信對于防止可能導致安全錯誤的混亂是必要的����。
5���、實施基本的內部威脅建模和風險評估
基本的威脅建模和風險評估不必是一個復雜或耗時的過程����。在對網絡進行重大更改或添加時,只需考慮攻擊者可能會對這些更改(可能的漏洞)進行不利操作(威脅)的方式��,以及這種操作可能對業(yè)務造成的影響(風險)�。在具有代表性的技術、安全���、法律和管理人員中使用此簡單過程將提高風險確定的準確性�����。
6�、持續(xù)安全評估
外部網絡和內部網絡的漏洞評估可以由內部或第三方服務提供商執(zhí)行����。建議使用這些評估,因為它們可能會暴露由于錯誤或惡意意圖而潛入網絡的漏洞��。自定義編碼的軟件應用程序的安全性評估可能會使漏洞暴露于跨站點腳本之類的情況�。其他可能使組織受益的安全評估包括滲透測試和網絡工程測試,例如網絡釣魚測試�。
7、實施日志記錄和監(jiān)視
實施此項目需要打開網絡上所有支持該功能的系統(tǒng)的日志記錄�����。建議使用工具匯總日志和進行基本日志分析。記錄和監(jiān)視應連續(xù)進行�。應指派有能力的員工來監(jiān)視、調查和增強自動化和第三方安全監(jiān)視結果���。
8��、實施網絡分段
實施此項目需要在邏輯上或物理上對網絡進行分段��。正確的網絡分段可以幫助阻止獲得非法內部訪問權限的攻擊者在網絡上橫向移動���,并將其特權提升到域管理員級別。至少應將“用戶空間”與“服務器空間”分開����。
9、執(zhí)行和維護書面的網絡安全計劃
書面的網絡安全策略和程序對于任何有效的網絡安全計劃都是必需的����。沒有他們,組織人員將永遠無法確保他們正確地協調自己的工作�,而且只有在將它們無縫集成在一起的情況下�����,網絡安全計劃才真正有效。此外���,書面安全和操作程序對于業(yè)務連續(xù)性/災難恢復至關重要���。
10、實施安全意識和培訓計劃
僅擁有良好的書面政策和程序文件還不夠�����。組織人員還必須了解這些政策及其執(zhí)行這些政策的責任�。此外,組織人員可以是安全資產也可以是安全缺陷��。培訓和意識是確保它們成為安全資產的關鍵�����。除安全培訓外�����,還應向人員提供安全提醒和更新����。另外���,應該為從事高風險工作的人員(例如網絡管理,服務臺等)提供安全技能差距培訓��。
11�、招聘、培訓和實施事件響應團隊
實施此控制措施需要制定事件響應策略和方法����,招募事件響應團隊,并練習執(zhí)行任務所需的技能��。沒有完美的安全���。任何組織都可能遭受安全事件�。事件響應程序可以極大地減少安全事件的負面影響����,例如數據泄露對組織及其客戶的影響。
12�、在網絡上盡可能使用MFA
使用有效的多因素身份驗證(MFA)來訪問網絡資產可以解決許多安全隱患。實施該項目確實需要花費大量的時間����,因為用戶和客戶總是會認為獲得訪問權會帶來額外麻煩。至少�����,應該對系統(tǒng)進行高風險訪問使用MFA�,例如管理、遠程或無線訪問���。
13��、部署合理的加密技術
加密數據以進行傳輸和存儲可最大程度地減少使用敏感或私有信息所固有的風險��。這個項目并不容易全面實施���,但是如果正確完成,可以幫助挫敗那些成功訪問私有系統(tǒng)的攻擊者�����。密碼學的警告是��,隨著項目的成熟����,還必須實施安全密鑰管理�����。如果沒有正確的制作�、注銷和保護這些密鑰���,則加密實際上可能成為一種負擔而不是資產��。
關于MicroSolved
MicroSolved是一家專注于提供最有效�、合理和全面的網絡安全產品和服務的小型公司����。該公司總部位于美國,成立超過25年來�,幫助客戶保護自己的數字資產并安全地開展業(yè)務。該公司在保護知識產權�����、金融系統(tǒng)���、零售環(huán)境和大小企業(yè)方面具有世界一流的經驗���。MicroSolved的企業(yè)經驗從小型關鍵基礎設施組織到財富500強企業(yè)�����,其重點是制造業(yè)、工業(yè)控制�����、高科技�����、快餐銷售以及負責保護一些最重要研究的科學/智庫團隊���。
