姓名:李欢洋 学号:16010110003
转载自http://mp.weixin.qq.com/s/XChQnCWw391myPrWXl9v5w,有删节。
【嵌牛导读】:随着黑客变得更加高端,攻击更加频繁,公司沦为网络攻击受害者已经不是会不会,而是什么时候会的问题了。残酷的现实,让很多公司都开始重新评估自身安全工作方法,重新审视将有限资源高效分配到威胁缓解上的最佳实践。
【嵌牛鼻子】:IT,团队,网络安全。
【嵌牛提问】:你知道IT团队需要的10个关键安全能力是什么吗?
【嵌牛正文】:
很多客户已经开始认识到,在期待最好情况的时候,却不得不为最坏情况做好准备。此时,拥有正确的安全技术组合就成了关键。
以下10个安全技术能力,就是公司企业在补充或升级自身安全团队的时候,应该重点关注的地方。
1. 安全工具专业知识
或许都不用说出来,但有效安全绝对从知晓工具开始。然而不幸的是,很多公司采取了“设置然后抛诸脑后”的方法,因为他们压根没配备安全工具指导手册。
以SIEM为例,这类工具可以给出网络和基础设施情况的全局视图,还能细粒度地观察事件,定位发生问题的范围。诸如,大多数事件都是终端用户的问题?云服务里有可供利用的漏洞吗?如何怎样让用户停止打开邮件附件?如何确保敏感数据没保存在防护薄弱的地方?”
不幸的是,大多数此类工具,往往被置于默认设置,因为它们仅仅是为合规而安装。这正是为什么要以熟悉工具的专家充实安全团队的原因所在。特定产品的专业知识,在确保可以充分利用所选工具上非常重要。
CIO应投入广泛深入的培训,甚至升级扩展安全员工的技能,以确保他们知道自家武器库中所有安全工具的优势和弱点,否则这些工具不过是些安慰剂而已。
2. 安全分析
工具很重要,但理解工具如何适应自家整体安全策略,同样重要。在你找出需要哪款工具以及怎样使用它们之前,你需要几个理解安全业务的人。你的业务如何进行?其特别功能、市场、客户、基础设施、行业等等都是什么?所有这些方面都对安全策略有所影响,每项业务都有不同的问题。
安全分析可以识别出可导致攻击更易发生的那些情况,帮助最小化这些攻击界面。
3. 项目管理
IT项目管理技术总是供不应求,但专精管理安全项目的项目经理是其中越来越有价值的一类。曾经属于普通系统管理员或网络管理员分类的那些人,如今已进化成了更为专业化的职业角色。
曾经,可以安装几个杀毒软件、垃圾邮件过滤器,甚或某些边界防御工具,就可以安心地丢在那儿不管了。但现在,必须将这些安全解决方案当成为期数周或几个月的项目来考虑,找到将之与现有其他系统融合的方法,添加培训、维护、升级策略——专注安全的项目管理技术是非常重要的。
4. 事件响应
涉及保护IT系统安全,事件响应是另一个至关重要的领域。此处,Splunk是最为著名的工具之一,大部分原因在于其在政府IT系统中的广泛流行。事件响应可帮你快速识别威胁,对Splunk技术专业人才的需求大大增加了。
很多时候,公司保持不住所需的员工人数,即便可以保持,也有负担水平的问题。因此,很多公司采取了外包安全分析的做法,然后培训公司现有人员掌握所需知识。员工培训和自动化检测及缓解工具强化也包含在内。
5. 自动化/开发运维
网络安全威胁和工具一直在进化,很难跟上它们的脚步。传统上,公司企业会让安全团队人工监视和修复漏洞,但时至今日,这已经不是一个可行的解决方案了。
公司企业现在利用开发运维和自动化,来达到应对威胁态势的目的。我们该怎样知悉异常,然后隔离异常进行分析呢?我们正的处理的是什么威胁?威胁来自何方,该怎样封锁威胁访问?我们的弱点在哪里?该怎样防范此类事件再次重演?这些都是相当重要的问题,但太多公司企业都没有员工可以马上解决这些问题。
自动化,可以在威胁和攻击淹没公司之前,就将其识别并封锁,然后IT人员就可以入场,进行更复杂的、上下文敏感的安全工作。安全人员要做的,是问题解决和故障排除;根据工具给出的信息和自身见解,判定指导调查的方向。然而,不幸的是,这不是一种可以随随便便就找到的技能集,是一种需要长期从业才能累积出来的经验。
6. 数据科学和数据分析
公司企业收集到的大量数据,可以用于追踪黑客、识别潜在攻击、监测防御措施有效性,但数据收集需要分析技术和经验才能完成。
网络安全领域需要具备分析工具使用经验和知识的人来处理所有这些数据,梳理这些数字并分析报告以得出结果。这里的分析工具包含机器学习、算法,甚至人工智能。
公司企业需要通用数据科学家,但最好专精安全数据,以及电子商务之类领域,特别是这两类领域重合部分。
数据科学和分析的作用,再怎么强调都不为过。对大公司而言,可能有成千上万的数据流在持续馈送数百万事件到工具中,比如馈送进Splunk里,再加上金融交易、网络流日志、安全警报、DNS流量信息——所有这些离散数据不断流入单一存储仓库。这就构成了大多数安全人员难以想象的数据怪物了。数据科学家可以辅助甄别噪音中的信号,让安全团队可以更好地专注响应事件。
7. 脚本
有这么多不同活动部分的情况下,脚本技术就是让所有这些元素协同工作的必备要求了。
Python、Perl或其他脚本语言都可以。你需要脚本工具来与Slack之类的消息系统、仪表板和监测系统及事件管理工具交互。
8. 软技能
安全竞技场上,软技能有着略为不同的含义。沟通、协作和团队合作能力很重要,但这里面还有辩证思维甚至心理学的元素牵涉其中。
你得会用“坏人”的思维考虑问题——你需要知道社会工程诱骗方法,这样才能识别出网络钓鱼攻击、鱼叉式网络钓鱼和其他恶意活动,才能知道该怎样缓解它们。你得知道公司员工和客户会怎样反应,哪些方法可以让他们放松警惕,然后找出相应的强化防御措施。
安全人员还需要能适应压力,在攻击发生时能够快速分类,合理排序处理动作以减少伤害,或者知道该怎么进行事后剖析。
掌握所有这些信息,收到这么多警报,知道有事件正在发生,或许正有人在攻击公司网络,而安全人员必须尽快阻止事件蔓延。此时,知道怎样快速排序事件并精准响应,就十分关键了。
必须承认,这其中有部分能力要归结到对公司特定漏洞、优势和已部署解决方案的熟知,而这只能藉由时间来积累。
这也正是为什么公司企业不能仅仅外聘安全专家,还得留住他们的关键所在。
9. 事后深度取证
安全人才还必须知道怎样进行事后取证调查。很多大企业都让自己的安全团队进行广泛深入的取证培训,提升他们的事件响应能力。
威胁响应、恶意软件分析和事后取证培训课程的注册的人数在逐年上升,公司企业逐渐认识到这些已有和新兴威胁,希望对自身应对能力加以改善。
10. 激情
最后,优秀的安全人才对自身工作保持激情,并有分享知识的欲望。这一点可以不同方式展现出来,从学习新的编程语言,到参加培训课程,到在公司或社区聚会上主动分享知识。
优秀的安全人员具备终身分享、学习和增长知识的饱满激情。这几乎可以说是最重要的能力了,因为激情这种东西无法向技术一样教授或培训。如果遇到要求参加安全会议、参加课程培训、喜欢与业内其他人互动的人,赶紧签下为妙。
如果已经雇有此类人员,尽全力鼓励并支持他们好了。团队拓展训练、知识分享会、联欢会、编程马拉松、新产品或解决方案展示、漏洞奖励——任何可以维持他们的参与度并给他们的激情添柴加薪的方法都可以。