著名军事家、哲学家孙子说:知己知彼,百战不殆。这句两千多年前的名言放在现在的网络安全格局中再合适不过了。私营和公共部门的安全领导者往往会忽视他们已经部署的网络防御的根本问题。在网络安全领域,它归结为一个问题:“我知道我的内部控制正在按照它们应该的方式工作吗?我们的网络状态安全吗?”如今,了解内部弱点和漏洞尤为重要。一些组织在公司不活动期间特别容易受到数据泄露的影响,例如最近的美国政府关闭。安全证书可能在不活动期间过期,在此期间代理较弱并且更容易受到各种威胁。由于需要处理大量积压的工作,安全团队几乎没有时间执行基本的安全任务。要真正为网络威胁做好准备,组织必须开始实施由内而外的安全视图,重点放在网络清理上。网络核心去污传统上,业内公司倾向于基于供应商产品正常运行以及产品部署和配置正确的假设来管理网络安全。但它无法验证组织的网络防御信息是否准确,以及是否存在漏洞或错误信息。机构需要以连续的方式验证控制,而不是将安全测量视为单个快照。美国国土安全部(DHS)最近也通过推广持续诊断和缓解(CDM)计划https://www.dhs.gov/cdm来强调这一努力。CDM敦促政府机构通过持续监控获得对其安全系统的实时可见性。放弃静态渗透测试或审计并切换到持续监控,这样可以在更长的时间内更全面地了解系统。这使机构能够量化和验证控制是否正在保护关键资产。与此同时,安全领导者和团队可以使用更有意义的指标来管理他们的网络安全计划,这些指标可以推动决策制定、优化运营并最终改善其网络的健康状况。“由内而外”看待网络安全尽管CDM等举措取得了一些进展,但持续监控仍然需要验证解决方案实施和相关数据。因此,私营公司和政府机构迫切需要采用以下“由内而外”的网络安全方法:1.准确识别漏洞点。一个典型的弱点是组织自己的人员。安全领导者应该专注于帮助他们的团队了解威胁参与者在他们需要防御的网络特定部分的行为。然后是通过测试事件响应过程来测试防御。测试成员是否知道给谁打电话以及如何量化他们所看到的内容?他们是否将网络钓鱼电子邮件转发给了正确的收件人?安全领导者了解了团队如何应对现实场景中的威胁。您可以确定要加强防御的地方。2.权衡网络安全投资的投资回报。政府在花纳税人的钱时需要谨慎,企业必须确保与合作伙伴和客户建立信任。尤其重要的是,组织在考虑网络安全投资时要验证预期的投资回报率是否可行,而不是假设预期的投资回报率是可行的。安全领导者需要数据来准确显示安全漏洞所在以及可以在何处进行更多投资。3.做出基于风险的决策而不是基于合规的决策传统模型在衡量网络安全有效性时往往采用基于孤岛和基于合规的方法,因此网络安全措施处于不同的企业渠道管理中,重要数据未得到充分利用。这也往往会导致“清单”心态,这会使公司容易受到威胁。因此,换句话说,网络安全必须与组织的关键风险和任务关键型业务需求保持一致,确保任务关键型企业使用的产品能够提供全面且可操作的见解。4.需要确定哪些技术可以改进,哪些技术可以从堆栈中移除网络安全人员需要管理很多产品。重要的是要验证在环境中哪些有效,哪些无效。适用于一家公司的解决方案可能不适用于另一家公司。确定哪些技术产品能提供更大的价值,哪些适合您当前的架构,这样您就不会购买多余的产品。以自动化方式映射安全控制还可以更轻松地标记和列出可识别的威胁。了解自己当您从外向内处理安全问题时,您所做的就是试图拒绝对外部的风险。由内而外的方法通过首先识别最重要的应用程序和基于风险的策略来保护关键任务数据,该策略侧重于最有价值和最易受攻击的资产。采取由内而外的网络安全方法绝非易事。不管是政府部门还是私营部门,归根结底都是生意,由内而外的做法才是最有商业意义的。
