前任美国陆军网络司令部安全运营中心负责人就抵御攻击者入侵议题分享了他的经验与惨痛教训。“从立场角度出发,负责运行紧急响应团队与扮演安全运营中心主管角色之间存在着显著差别。我将后者称为一种“记者席”类型的网络安全视角,而这一结论源自我在美国陆军网络司令部的安全运营中心担任负责人以及近来在FireHost公司担任CSO职务时积累到的所见所闻。”在扮演上述角色的过程中,我的任务并非承担特定基础设施的安全保障工作,但这些工作经历却让我开始意识到大部分从业者在处理安全事务时采取的都是“防御姿态”。有鉴于此,我开始记录下那些导致我的团队遭遇安全违规事故的本质原由。而从这些原由当中,我发现了安全运营中心领域最为常见的五大陷阱。陷阱一:采取集中化规划与执行方式为数
众多的大型跨国企业希望能够以集中化方式实现安全事务的规划与执行。在这种情况下,无论大家向其中投入多少人工智能以及计算资源,由此带来的大数据处理难题都不可能得到有效解决。我们在美国陆军全球安全运营中心内采取的方案是以集中化方式处理规划、但以分散方式将其付诸执行。我们的全球安全运营中心会根据威胁调查结果推出相应防御对策,但具体执行权则被交给各区域安全运营中心——包括运用这些威胁指标并对其区域内部安全堆栈提供的警报信息加以管理。各区域团队也拥有充分的灵活性对具体安全态势做出调整,这就确保了其能够在必要的情况下拥有高于全球基准的针对性应对措施。安全信息与事件管理(简称SIEM)数据会被传输至全球安全运营中心并作为分析素材。然而,各区域安全运营中心会首先对SIEM事件进行过滤、同时清除混杂于其中的虚假警报。陷阱二:将安全运营中心的任务与责任外包出去具体来讲,我曾经亲眼见证过两大主要趋势:企业通过外包方式管理安全服务供应商以及/或者采取离岸外包将安全运营中心事务交由高价值区域的合作方处理。就其本身而言,把一部分安全运营中心事务交由第三方负责并不是什么大问题。其中的关键就在,我们绝不该把安全运营的相关职责移交给其它服务供应商——这种模式根本起不到理想中的效果。一家企业能够也应该将警报以及其它部分安全设备管理工作外包出去,但安全运营中心对于此类警报的管理能力必须牢牢掌握在内部团队手中。我怀疑这正是企业在将安全运营中心加以外包时希望得到的结果,但只有具备专业知识的内部人员才有能力根据错误警报采取对应行动、从而选择将其忽略或者通过重新分配实现成本节约战略。我建议每一个安全事务团队都尽可能将紧急事件处理流程保留在企业内部环境当中。陷阱三:坚信单靠技术本身已经足以提供有效的安全保障尽管选择正确的技术方案非常重要,但经过良好培训的工作人员以及正确的技术利用方式也拥有
同样关键的地位。我曾经同我自己的团队分享过这样一种观点:“老虎伍兹能够用我的高尔夫杆打出出色的成绩,但我却没办法用他的球杆打出世界一流水平。”其中的核心在于,大家必须高度关注如何对安全工具加以利用、同时依靠方法性方案对来自这些工具的处理结果进行分析。如果我们认真解读过去几年内发生过的全部主要安全违规事故,就会发现大部分违规早已被技术方案检测出来,只不过没有合适的人员以及流程能够及时加以解决。不要妄想利用购买新型技术产品来替代员工培训以及流程开发,这样的战略方针注定会遭受失败。陷阱四:把事件管理与问题管理混为一谈我拜访过的很多安全运营中心——包括军方及民用组织——都会引入大量行动,但却没能找到真正的执行方向或者需要实现的目标。他们拥有
丰富的数据分析与开启支持能力,但却没有讨论过该如何抢在威胁发生之前采取行动并降低自身攻击面。在我为美国军方承担安全管理事务之前,我曾经担任过CIO职务并效力于基础设施供应商,这让我对于大部分IT服务供应商所采用的ITILv3框架非常熟悉。我注意到,绝大多数安全团队能够实现基本的突发事件管理,但却无法真正理解事件管理与问题管理之间的区别。如果大家正在寻求正确的衡量指标并进行趋势分析,就会清楚地认识到安全控制与策略是在何时
失去效果的。几乎没有多少安全团队能够为此类分析提供足够的传输带宽,也正是因为如此,作为威胁根源的恶意攻击者才能利用同样的技术、战略以及规程在安全破坏活动中取得成功。陷阱五:对一切对象加以保护(在多数情况下,保护一切意味着
毫无保护)恶意攻击者可能只对全部数据及基础设施体系中约2%内容感兴趣,但他们会利用其余98%作为跳板来获得访问这2%内容的能力。一部分最具创新能力的CIO拿出了自己的解决方案,这也是我目前为止见过的最为睿智的安全策略——他们将自己的网络视为“有争议的空间”而非被严密保护在坚固城墙当中的堡垒。这些创新推动者们会积极对自身网络进行细化拆分,并将最有价值的数据、应用程序以及VIP用户迁移到安全保障能力更强、更为可靠的基础设施体系当中。事实上,我们的大部分客户会把其难于保护的规范化数据及应用程序交由强大的云服务供应商负责,从而保证这些关键性资产能够得到高度专注的重视及严格保护。我们在自有安全运营工作当中采取的另一项举措在于将安全性与漏洞管理精力集中在已经确定的“关键性区域”当中。过去十年以来,安全威胁的起效流程并没有出现太大的变化。一般而言,恶意攻击者会入侵主机、提升权限,
然后寻找机会对受害者的基础设施加以利用、使其反过来成为攻击用户的武器。我们的方案则旨在确保此类基础设施,
例如Active Directory、软件分发系统以及其它关键性区域,拥有更理想的安全保障水平、并对威胁活动进行定期审计。当然,这五种常见陷阱还无法代表我们在实际工作中可能遇到的全部状况。不过这些正是我的安全团队选择重点投入并加以高度关注的层面。我们的目标在于保护自己的关键性资产、在其遭受入侵时快速掌握情况并利用实时举措对威胁加以遏制甚至是消除。如果有朋友坚持
认为自己的目标在于创建一套完美的安全环境,
那么我得先泼一盆冷水:这种方案压根就不存在。然而,如果大家能够利用明智的安全运营机制——其中集合了正确的人员、正确的流程以及正确的技术方案——尽可能缩小受攻击面,那么我们的这套防御体系将对恶意攻击者的技术水平
提出严峻挑战。换句话来说,绝大部分攻击者只能放弃尝试,转而寻常那些更容易对付的攻击目标。原文链接:http://www.darkreading.com/operations/5-pitfalls-to-avoid-when-running-your-soc-/a/d-id/1318218
影响企业安全运营中心运营的五大陷阱
时间: 2024-10-02 00:56:41
影响企业安全运营中心运营的五大陷阱的相关文章
企业选择数据中心的五大贴士
选择合适的数据中心可以,而且应该是您所在企业最为重大的决策之一.毕竟,您将就此充分信任另一处基础设施的安全性和可靠性,以保持您企业最重要的数据和关键任务信息的安全.这对于包括金融服务机构.政府机构.石油和天然气以及顶级电子商务公司在内的大型内容提供商而言尤其重要,合适的数据中心选择对这些机构组织的业务的健康良性运行将会产生及其重大的影响.而为了让您有信心,并充分了解这其中所涉及到的相关知识,进而为您企业的业务做出重要决定,借鉴和参考本文如下所介绍的五个方面的考虑因素,相信可以帮助到您企业明智地选
数据中心运营首要关注的五方面
近年来,越来越多的企业不再构建和维护他们自己内部的数据中心,而是选择主机托管.主机托管的好处有很多,包括降低基础设施成本,提高安全性,提高功率容量和冗余性,以及提高了可靠性和正常运行时间. 然而,选择合适的数据中心的合作伙伴是至关重要的.这个风险很高,因为一个停机错误可能代价高昂.来自Ponemon研究所的一项调查发现,平均每分钟的停机时间成本高达7900美元,自2010年以来,每年以41%增长率上升. 由于这些原因,在选择数据中心时需要谨慎小心.而为了获得正常运行时间,则需要通过坚实的合作伙伴
亚马逊投3.1亿元筹建华南运营中心
昨日,由广州市外经局和黄埔区人民政府主办.黄埔区经贸局和广州市外商投资企业协会承办的"新黄埔·新商机"黄埔区招商项目对接会在黄埔区隆重举行.记者从会上了解到,世界500强美国亚马逊投资3.1亿元的中国华南运营中心项目正在加速筹建.此外,该区将通过建设状元谷园区,力争在3-5年里,在该区国家级电子商务示范基地集聚国内外知名电子商务企业20-30家,年营业收入达到550亿元,年交易额超过700亿元,努力把示范基地建成具有国际影响力的华南地区大宗商品的电子交易中心. 上半年黄埔引进项目146
前旗加快图联科技数据运营中心项目建设打造智慧城市
记者日前获悉,总投资2亿元的图联科技(内蒙古)数据运营中心项目选址在科右前旗高新技术产业园内,计划今年7月份开工,2018年末完工,建筑面积100亩.目前,项目的各项前期准备工作正在紧张进行.这是皖蒙经济深度合作的又一佳绩,标志着前旗全力推进智慧城市建设有了实质性进展. 为了积极响应自治区党委.政府大数据产业大发展.大繁荣战略布局和盟委.行署的决策部署,去年11月,前旗政府在安徽招商会上与安徽图联科技有限公司签订数据运营中心项目.项目建设内容主要为大数据产业的规划,数据信息的采集,数据产业的资源
科右前旗加快图联科技数据运营中心项目建设打造智慧城市
记者日前获悉,总投资2亿元的图联科技(内蒙古)数据运营中心项目选址在科右前旗高新技术产业园内,计划今年7月份开工,2018年末完工,建筑面积100亩.目前,项目的各项前期准备工作正在紧张进行.这是皖蒙经济深度合作的又一佳绩,标志着前旗全力推进智慧城市建设有了实质性进展. 为了积极响应自治区党委.政府大数据产业大发展.大繁荣战略布局和盟委.行署的决策部署,去年11月,前旗政府在安徽招商会上与安徽图联科技有限公司签订数据运营中心项目.项目建设内容主要为大数据产业的规划,数据信息的采集,数据产业的资源
盘点:各类企业的智慧社区运营模式
智慧社区的概念已经喊了很多年,北上广等较为发达的地区也已经出现了初具形态的智慧社区,但总的来说,国内的智慧社区建设尚处于探索阶段,有许多问题还需要得到解决,智慧社区的业务整合较难就是其一. 由于智慧社区是一个工程巨大的系统,各自为政的情况不会带来长久的收益.因此,只有进行资源整合才有可能促进智慧社区的进步,那么不同企业的智慧社区运营模式有何不同?找出他们的不同后是否有利于智慧社区建设?本文为你盘点"不同类型企业的智慧社区运营模式". 一.互联网:以云计算为核心做掌上社区 互联网企业以网
呼叫中心运营模式之我见
作者:郑州鼎晟科技有限公司 李倬 随着日益开放的商品经济时代的到来及严峻的竞争机制的引入,呼叫中心的建立对中国的企业有着十分重要的意义,对于企业全面塑造良好的企业形象.转变经营观念.提高服务质量.开发新的业务都有举足轻重的作用. 近年来,呼叫中心在各行各业都呈现高速发展的局面,例如银行.交通.证券.保险.房地产及旅游等等,客户服务中心已经成为现代企业获得竞争优势和赢得客户的利器. 那么如何建立一个适合自己的呼叫中心系统尤为重要.但是一个合适的呼叫中心的建立需要考虑很多不同的因素,如:资金是否充足
戴尔为节约成本将运营中心迁至四川成都
出于降低生产成本.开发西南市场等原因,戴尔将新的运营中心设在了成都.不过,它并不孤独. 文|CBN记者 谢灵宁 在关闭位于北卡罗来纳州的温斯顿·塞勒姆的工厂差不多一年之后,戴尔将新的制造和运营中心设到了中国. 新中心位于西部的成都,计划于2011年起开始运营,员工总数将逐步增加到3000人.除了生产以外,戴尔成都运营中心同时还将负责销售和 客服,主要面向中国西南市场. 这是戴尔继厦门运营中心之后,在中国设立的第二家运营中心.戴尔的厦门运营中心包括两个电脑生产基地.一个企业服务指挥中心.一个戴尔国
共建四川安全生态 百度安全成立西南运营中心
12月20日, 2016百度安全成都生态会议暨西南运营中心成立仪式在成都隆重召开.本次活动以"安亦有道,全力以赴"为主题,四川省经信委信息安全处.四川省信息安全评测中心.四川省经济信息中心.四川省计算机安全行业协会等相关领导单位,以及无声信息.网安科技.思维世纪.中国通信服务股份有限公司四川分公司等合作伙伴出席会议,共同就当前的安全形势.网络安全生态建设等话题进行深入探讨. 为了更好地保护企业和网民的安全,百度安全还宣布成立安全大武林联盟西南站和百度安全西南运营中心,将加大投入力度,更