報告數據泄露并非不可避免

又一天，又一次數據泄露。看似不可避免的成功攻擊會在infosec的專業人士中滋生出一種絕望的感覺。

但SANS研究所本周發表的一份白皮書說，他們不應該放棄。該文件稱：“如今，員工和預算有限的大公司和小公司都采用了行之有效的技術，這些技術能夠抵御或避免大多數攻擊，并極大地減少成功的攻擊造成的傷害。

“例如，那些強調積極主動的安全努力以減少關鍵業務資產中的漏洞的組織，比那些沒有技能和工具來優先和集中安全努力的組織更不可能遭受重大業務損害。成功的安全計劃不僅僅依靠更快的事故反應來應對傷害避免和減少的挑戰。”

建議中沒有什么新的內容，但這篇文章提醒我們，采取眾所周知的步驟來避免某些漏洞和減輕其他許多漏洞將降低一個組織成為受害者的可能性。

把錢花在網絡安全上并不能證明一個組織正在變得更好。問問多倫多的副尼古拉斯·約翰斯頓...

投資建立安全運營中心的組織在網絡安全方面的投入越來越多，但是......

“關鍵是讓安全團隊了解業務影響，能夠用這些術語表達風險，并能夠展示安全方面的改進如何導致可衡量的業務影響減少，”該報表示。“通過培養局勢意識(及時準確地了解我們需要保護什么、存在什么樣的脆弱性以及對這些目標有哪些真正的威脅)，并將其與優先預防和緩解行動的工具和技術相結合，安全小組可以迅速采取行動，避免最具破壞性的事件，并以指數方式減少不可避免的事件對業務的損害。

本文提出的一個關鍵點是，深入防御-增加大量的層次和工具-不是一個解決方案。優先安排工作人員資源和采購安全產品和服務，首先處理風險最高和最常見的領域，是有效和高效的網絡安全的關鍵。

因此，例如，一個組織需要制定安全策略，創建一個基線(庫存硬件/軟件，發現您的漏洞)，評估風險(并解決這些問題)，減輕風險(通過補丁和變更管理)，消除風險的根源(通過軟件分析、網絡體系結構、意識培訓、特權管理)，以及監測和報告(通過事件響應、日志安全分析)。

記錄和連接程序對于創建可重復和適應性強的安全流程至關重要。使用網絡安全框架(如NIST網絡安全框架、CIS關鍵安全控制、PCI數據安全標準優先指導方針、健康信息信任聯盟(H IT RUST)共同安全框架)是重要的。事實上，SANS-像其他專家一樣-堅持認為，在前六個CIS控制之后(例如創建和維護硬件/軟件庫存和控制管理特權)可以擊敗絕大多數真實世界的攻擊。

“識別、緩解和屏蔽漏洞所需的基本安全流程和控制措施是眾所周知的，”該文件說。”關于威脅和攻擊的信息并不缺乏。為了在預算和人員配置的現實約束下取得成功，網絡安全管理人員需要首先關注能夠跟上業務速度和攻擊快速演變的綜合流程，然后實施“武力倍增器”，以支持安全資源的準確和及時優先排序。

“通過將資源集中于保護最關鍵的商業資產免受最具破壞性的潛在威脅，安全計劃可以避免許多違規行為，并大幅降低任何確實發生的業務影響。