網絡攻擊者正變得越來越聰明,他們的攻擊行為也越來越隱蔽。在網絡攻防的博弈中,擊敗攻擊者的唯一有效方法,就是像攻擊者一樣思考,將安全防護措施領先于潛在的網絡攻擊行為和漏洞利用,從被動事件響應轉化為主動威脅防御。在此背景下,企業組織構建全面的行動安全(OperationalSecurity,OpSec)防護計劃至關重要。
什么是OPSEC
OpSec是一種研究潛在攻擊行為的主動安全防護技術,最初是為軍事組織開發的。根據美國國家安全局(NSA)解密的一份文件“美國OpSec計劃的起源與發展”披露:在越南戰爭中,美國開始注重于從敵方角度審視其自身的安全態勢,判斷敵方可能的進攻意圖和能力,并發現敵方是如何獲取美軍的計劃和情報信息,以此來制定最終的反制策略。這種“讓敵人無法了解我們的優勢和弱點”的能力被稱為行動安全即OpSec。
2023年1月,美國國家情報局(ODNI)和國家反情報與安全中心(NCSC)首次對“OpSec”進行了定義:OpSec是一個系統化的過程,旨在將威脅防護措施前置,更早識別和保護敏感和關鍵信息,并消除對手獲取這些信息的能力。由此可以看出,不論是在戰時還是平時,掌握“信息優勢”都是決定博弈成敗的關鍵所在。借助全面的OpSec安全計劃,企業安全運營團隊將能夠在攻擊者實際利用系統錯誤或漏洞之前識別并修復它們,從而掌握主動。
根據ODNI和NCSC給出的定義,OpSec不是有明確規范的行為準則,而是一個實現主動安全防護能力的流程。遵循這個流程可以讓企業獲得更大的安全性。一個全面的OpSec計劃需要包含以下關鍵要素:
識別敏感數據和信息企業首先要明確哪些是需要保護的敏感信息,他們存儲在哪里,在哪些服務器上有違規存在的敏感信息。通常企業的客戶信息、知識產權、員工隱私數據、財務報表和市場研究數據都是需要嚴格保護的敏感信息。
識別潛在的攻擊媒介識別潛在的攻擊媒介屬于威脅情報的范疇,主要是根據要保護的數據信息,確定潛在的威脅形式。在防止關鍵信息數據泄露之前,企業應該知道目前的薄弱環節在哪里,比如:哪些類型的數據對攻擊者有吸引力?是否有第三方可以進入組織系統?
審查安全弱點和漏洞企業在掌握自己可能面臨的攻擊面之后,就需要針對每個攻擊風險級別采取合適的保護措施準備,對存在的問題進行修復。企業需要對現有的安全基礎設施進行客觀評估,并確定各安全工具是否可以正常發揮作用。
評估漏洞的風險級別當企業發現已存在的安全風險和漏洞后,接下來就是對其可能產生的影響和后果進行評估,并說明這些漏洞被利用的后果。哪些漏洞的風險最高?發生入侵的可能性有多大?攻擊會造成多大損失?風險必須根據其嚴重程度和影響進行排序。
實施緩解和修復計劃實施OpSec的根本目的,是為了降低企業的安全風險。因此在發現潛在的風險漏洞并評估優先級后,就要采取對應的修復措施。需要特別說明的是,風險是在不斷的變化中,并沒有100%的安全,安全運營團隊需要在安全投入和防護效果之間實現動態的平衡。
OpSec計劃的最佳實踐
OpSec計劃旨在建立防御潛在威脅的第一道防線,因此需要企業多個部門的密切配合才能發揮最大的作用。如果企業準備構建全面的OpSec防護計劃,可以參考以下8個最佳實踐經驗:
01精確的系統運行管理
定期進行應用系統版本更新是保持系統平穩運行的必要條件,但它們也可能成為攻擊利用的載體。為了保護系統運行安全,必須實施精確的系統版本管理流程,包括強制記錄、變更控制、持續監視和定期審核。
02選擇合適的服務商
現代企業需要通過第三方供應商來提供一系列服務,以改善客戶和內部業務體驗。然而,第三方服務商也是重大風險的來源。如果合作伙伴不能與企業保持一致的網絡安全價值觀,那么就應該選擇一個新的服務商了!事實上,如果第三方服務商未能滿足安全法規的要求導致違規行為或風險事件產生,企業需要為此負責。
03限制對網絡和設備的訪問
不是任何人都可以訪問企業的網絡和業務系統。只有經過批準并得到驗證的設備才能連接到業務網絡。企業應該設置警報機制,以防未經授權的設備非法連接到網絡系統,因為這可能對敏感業務數據構成威脅。
04遵循最小特權原則
實施包含多因素身份驗證(MFA)和密碼管理的零信任策略可以幫助企業阻止未經授權的用戶。同時,企業應該將員工權限限制在“工作必需”的最低基礎上,這樣可以最大限度地防止內部威脅,并降低因憑證竊取而導致嚴重數據泄露的可能性。
05對管理權力的制衡
此舉是為了企業安全而實施的“制衡”手段。雙重控制(dualcontrol)可以提供更有效的安全性覆蓋,而不會將所有責任放在某一個用戶或部門。在實際應用中,企業應該是將業務部門的權限與安全團隊的權限進行區分,并互相牽制、平衡,防止內部惡意攻擊行為的出現。
06利用自動化技術
現代企業面臨的一個重大威脅就是人為錯誤。通過自動化技術,可以將繁瑣、重復的人工任務交給機器去完成,這樣可以幫助組織減少人為失誤,降低數據泄露或其他安全事件的可能性。
07制定現實可行的政策
如果企業制定的安全政策超出安全運營部門能夠實現的范圍,那么在內部審計時,您就會發現自己永遠處于落后局面。為了保障OpSec計劃能夠真正落地,企業應該編寫具有挑戰性但可又實現的安全制度和流程。
08事件響應和災難恢復優先
沒有100%的安全,即使是最成功的OpSec計劃,在某些時候也會存在安全問題。因此,企業應該制定詳細的事件響應和災難恢復計劃,這樣可以大大降低安全事件發生后造成的影響。當企業了解如何應對威脅,并如何減輕損失時,將幫助企業更好地開啟OpSec之旅。
參考鏈接:??https://www.tripwire.com/state-of-security/operational-security-best-practices-create-comprehensive-opsec-program??
