随着MicroSolved更新了80/20网络安全法则,近日,北京天地和兴有限公司分析并研究了网络安全法则定律,从而帮助企业更好地应用网络安全控制。
早年间,美国联邦政府花费了巨大精力,在各部门不同网络安全专家间达成共识,以确定现代计算机和网络环境中有效的网络安全控制,形成了20项最重要的持续网络安全执法控制措施,即共同审计指南。与此同时,美国联邦政府也鼓励网络安全专业人员对该指南进行改编及思考。2009年,美国网络安全公司MicroSolved发布了其80/20网络安全法则,旨在为中小型组织提供最实惠的安全控制项目,只需花费通常组织20%的开销,就能获得80%的安全效果。随着网络安全态势的快速变化,原有13条安全法则难以适应新的形势发展。对此,MicroSolved更新了其80/20法则,该最新版本的法则包含:维护完整的当前网络资产清单、实施全面的配置控制程序、实施全面的安全维护计划、实施全面的变更控制程序、实施基本的内部威胁建模和风险评估、持续安全评估、实施日志记录和监视、实施网络分段、执行和维护书面的网络安全计划、实施安全意识和培训计划、招聘、培训和实施事件响应团队、在网络上尽可能使用MFA、部署合理的加密技术。
80/20法则又称帕累托法则、二八定律,由意大利经济学家维尔弗雷多·帕累托在19世纪末20世纪初发现的。他认为,在任何一组东西中,最重要的只占其中一小部分,约20%,其余80%尽管是多数,却是次要的,因此又称二八定律,被广泛应用于社会学及企业管理学等。该法则认为,原因和结果、投入和产出、努力和报酬之间存在着无法解释的不平衡,如80%的结论源自20%的起因、80%的产出源自20%的投入、80%的收获源自20%的努力。该法则说明少量的原因、投入和努力会有大量的收获、产出或回报,只有几件事情是重要的,大部分都微不足道。该法则的主要用途是去发现该80/20关系的关键原因,如20%的投入就有80%的产出,并在取得最佳业绩的同时减少资源损耗。当将该法则应用于网络安全领域时,又会有什么结果呢?
2009年,由于人们认为《联邦网络安全管理法》(FISMA)过于繁琐,且无法有效保护私人信息的机密性、完整性和可用性,为此美国联邦政府做出了巨大的努力,在来自各个部门的不同网络安全专家组之间达成共识,以确定在现代计算和网络环境中哪些网络安全控制最有效。这项工作的成果是,发布了20个最重要的持续网络安全执法控制措施:共识审计指南(Consensus Audit Guidelines)。同时,还激发了组织和网络安全专业人员对本指南的可能变化和改编的思考,其中之一,就是由美国网络安全公司MicroSolved发布的80/20网络安全法则(2009)。
虽然该法则与共识审计指南非常相似,但该80/20法则的重点是建立一组安全控制项目,为没有联邦政府或其他大型组织资源的中小型组织提供最“实惠”的安全控制项目。该法则的灵感来自于帕累托原理,当应用于网络安全控制时,意味着一个组织可以仅花费通常消耗的20%的资源,就可以实现80%的安全结果。
该2009版本的80/20法则包含以下13个安全项目:资产、数据流和信任关系映射;进行基本的风险评估和威胁建模;对所有网络攻击面的持续评估;最小化攻击面;实施出口过滤;实施隔离计算;创建异常检测功能;定义正式的策略和过程;进行安全意识计划;加强资产和新系统;招聘、培训和实施事件响应团队;识别安全技能差距并培训员工;部署合理的密码学。
然而自2009年以来,网络安全形势发生了变化,情况有所改变。因此,MicroSolved更新了其80/20法则,以更好地符合当前环境,尽管新版本中许多安全项目仍保持相同。MicroSolved 80/20网络安全法则(2019)的安全项目列表如下:
1、维护完整的当前网络资产清单
与以前的80/20法则版本中的第一个项目几乎相同。研究人员认为清单控制是20大建议中的第一控制措施。完整的清单不仅可以帮助避免遗留未维护的遗留系统的危险,更重要的是,它还可以实现其他重要的安全项目,例如安全维护、配置控制、访问控制等。
2、实施全面的配置控制程序
为了适当地增强网络抵抗攻击能力,必须安全地配置所有网络资产(软件/固件应用程序、操作系统和设备)。这应该根据通用的基线配置策略来完成。为了确保正确配置所有网络资产,需要完整且最新的清单。
3、实施全面的安全维护计划
安全维护需要监视安全和供应商站点是否存在影响网络资产的漏洞,然后确保必要时对其进行修补、更新或替换。有必要将此过程与库存控制联系起来,以确保包括所有资产。
4、实施全面的变更控制程序
安全漏洞通常是由于对网络安全设置未进行维护或进行考虑不周的更改而引起的。例如,将与内部网络的直接连接授予第三方,以允许进行必要的工作,但是在完成工作后不会将其删除。攻击者经常使用这种攻击载体来获得专用网络的访问权限。变更应完全记录在案,并应计划还原到以前的状态,以防出现无法预料的问题。如前所述,变更控制过程应与库存控制、配置控制和安全维护联系相联系。人员和流程之间的这种通信对于防止可能导致安全错误的混乱是必要的。
5、实施基本的内部威胁建模和风险评估
基本的威胁建模和风险评估不必是一个复杂或耗时的过程。在对网络进行重大更改或添加时,只需考虑攻击者可能会对这些更改(可能的漏洞)进行不利操作(威胁)的方式,以及这种操作可能对业务造成的影响(风险)。在具有代表性的技术、安全、法律和管理人员中使用此简单过程将提高风险确定的准确性。
6、持续安全评估
外部网络和内部网络的漏洞评估可以由内部或第三方服务提供商执行。建议使用这些评估,因为它们可能会暴露由于错误或恶意意图而潜入网络的漏洞。自定义编码的软件应用程序的安全性评估可能会使漏洞暴露于跨站点脚本之类的情况。其他可能使组织受益的安全评估包括渗透测试和网络工程测试,例如网络钓鱼测试。
7、实施日志记录和监视
实施此项目需要打开网络上所有支持该功能的系统的日志记录。建议使用工具汇总日志和进行基本日志分析。记录和监视应连续进行。应指派有能力的员工来监视、调查和增强自动化和第三方安全监视结果。
8、实施网络分段
实施此项目需要在逻辑上或物理上对网络进行分段。正确的网络分段可以帮助阻止获得非法内部访问权限的攻击者在网络上横向移动,并将其特权提升到域管理员级别。至少应将“用户空间”与“服务器空间”分开。
9、执行和维护书面的网络安全计划
书面的网络安全策略和程序对于任何有效的网络安全计划都是必需的。没有他们,组织人员将永远无法确保他们正确地协调自己的工作,而且只有在将它们无缝集成在一起的情况下,网络安全计划才真正有效。此外,书面安全和操作程序对于业务连续性/灾难恢复至关重要。
10、实施安全意识和培训计划
仅拥有良好的书面政策和程序文件还不够。组织人员还必须了解这些政策及其执行这些政策的责任。此外,组织人员可以是安全资产也可以是安全缺陷。培训和意识是确保它们成为安全资产的关键。除安全培训外,还应向人员提供安全提醒和更新。另外,应该为从事高风险工作的人员(例如网络管理,服务台等)提供安全技能差距培训。
11、招聘、培训和实施事件响应团队
实施此控制措施需要制定事件响应策略和方法,招募事件响应团队,并练习执行任务所需的技能。没有完美的安全。任何组织都可能遭受安全事件。事件响应程序可以极大地减少安全事件的负面影响,例如数据泄露对组织及其客户的影响。
12、在网络上尽可能使用MFA
使用有效的多因素身份验证(MFA)来访问网络资产可以解决许多安全隐患。实施该项目确实需要花费大量的时间,因为用户和客户总是会认为获得访问权会带来额外麻烦。至少,应该对系统进行高风险访问使用MFA,例如管理、远程或无线访问。
13、部署合理的加密技术
加密数据以进行传输和存储可最大程度地减少使用敏感或私有信息所固有的风险。这个项目并不容易全面实施,但是如果正确完成,可以帮助挫败那些成功访问私有系统的攻击者。密码学的警告是,随着项目的成熟,还必须实施安全密钥管理。如果没有正确的制作、注销和保护这些密钥,则加密实际上可能成为一种负担而不是资产。