任何有效的企业IT安全计划都必须基于某些核心原则。这些安全原则已经过数十年的考验。它们包括纵深防御、最小特权访问、角色分离和安全故障。IT安全最重要的基本原则之一是保护最薄弱的环节。组织的IT安全基础设施并不是单一的。它由多个部分组成,这些部分必须协同工作,以最大限度地减少破坏组织防御的可能性。这些不同的部分具有不同程度的复杂性以及不同程度的脆弱性。最薄弱环节的吸引力为了更好地理解最薄弱环节原则,让我们来看一个假设场景。想象一下,您的任务是将珍贵的艺术收藏品从破旧的偏远仓库转移到位于市中心的高安全性银行保险库。您注册了装甲运输服务来运送物品。现在,想象一个罪犯刚刚抓住了这个迫在眉睫的举动并打算窃取艺术品。他们战略的核心将是确定最佳打击地点和时间。在这种情况下,他们可能不愿意冒抵制银行金库或装甲运输服务的风险。远程存储库可能是他们的最佳选择。这是最薄弱的环节。网络罪犯的资源有限黑客没有无限的资源和时间可供他们支配。他们希望将精力集中在可以最快获得回报的工作领域。攻击者将直奔阻力最小的路径。他们攻击看似最弱的安全控制,而不是看似最强的安全控制。无论是躲在地下室的少年黑客,还是老练的国家支持的黑客组织,原则都是一样的。他们会寻找最薄弱的环节,并试图从那里突破组织的防御。当有更容易进入的方法时,没有人会故意花费时间和金钱试图渗透IT基础设施中戒备森严的部分。只有当他们无法突破最薄弱的环节时,他们才会探索更具挑战性的选择。最薄弱的链接不一定获得最大的回报即使最薄弱的链接获得的回报低于组织安全基础设施中高度安全的元素,也会对最薄弱的链接进行优先排序。想一想。银行持有的现金比当地的便利店多得多。抢劫银行在经济上肯定更有利可图。不过,相较于便利店较弱的防护措施,普通劫匪很难攻破银行先进的安保技术。便利店是更容易攻击和逃脱的目标。人并不总是最薄弱的环节从安全的角度来看,最终用户、服务台人员或基础设施管理员等通常被认为是最薄弱的环节,这种说法是有道理的。然而,由于决策的不可预测性和对社会工程的易感性,人类变得脆弱,最薄弱的环节也可能是安全功能或特性。确定最薄弱的环节并降低风险那么,您如何确定IT安全设计中最薄弱的环节呢?您需要全面的风险分析。由此,您应该了解哪些风险最容易被利用。但是找到最薄弱的环节是不够的。借助手头的大量风险数据,您可以按严重程度对风险进行排序,并首先专注于缓解最严重的风险,而不是那些最容易处理的风险。应根据风险的严重程度分配安全资源。考虑到资源不是无限的,不可能解决所有风险。必须有一个终点,这是通过测量可接受风险的参数来确定的。什么样的风险是可以接受的,因人而异。解决最薄弱的环节至关重要如果您计划安全地设计您的IT基础架构,识别和保护最薄弱的环节至关重要。解决最薄弱的环节意味着您可以避免设置门并期望攻击者直接跑向它的策略,而不限制他们在门周围的访问。通过关注最薄弱的环节,您可以将时间和精力花在最重要的风险上。只有在您确定了自己的弱点之后,您才能为您的系统提供一定程度的抵御攻击的舒适度。
