网络攻击者正变得越来越聪明,他们的攻击行为也越来越隐蔽。在网络攻防的博弈中,击败攻击者的唯一有效方法,就是像攻击者一样思考,将安全防护措施领先于潜在的网络攻击行为和漏洞利用,从被动事件响应转化为主动威胁防御。在此背景下,企业组织构建全面的行动安全(Operational Security,OpSec)防护计划至关重要。
什么是OPSEC
OpSec是一种研究潜在攻击行为的主动安全防护技术,最初是为军事组织开发的。根据美国国家安全局(NSA)解密的一份文件“美国 OpSec 计划的起源与发展”披露:在越南战争中,美国开始注重于从敌方角度审视其自身的安全态势,判断敌方可能的进攻意图和能力,并发现敌方是如何获取美军的计划和情报信息,以此来制定最终的反制策略。这种“让敌人无法了解我们的优势和弱点”的能力被称为行动安全即OpSec。
2023年1月,美国国家情报局(ODNI)和国家反情报与安全中心(NCSC)首次对“OpSec”进行了定义:OpSec是一个系统化的过程,旨在将威胁防护措施前置,更早识别和保护敏感和关键信息, 并消除对手获取这些信息的能力。由此可以看出,不论是在战时还是平时,掌握“信息优势”都是决定博弈成败的关键所在。借助全面的OpSec安全计划,企业安全运营团队将能够在攻击者实际利用系统错误或漏洞之前识别并修复它们,从而掌握主动。
根据ODNI和NCSC给出的定义,OpSec不是有明确规范的行为准则,而是一个实现主动安全防护能力的流程。遵循这个流程可以让企业获得更大的安全性。一个全面的OpSec计划需要包含以下关键要素:
- 识别敏感数据和信息企业首先要明确哪些是需要保护的敏感信息,他们存储在哪里,在哪些服务器上有违规存在的敏感信息。通常企业的客户信息、知识产权、员工隐私数据、财务报表和市场研究数据都是需要严格保护的敏感信息。
- 识别潜在的攻击媒介识别潜在的攻击媒介属于威胁情报的范畴,主要是根据要保护的数据信息,确定潜在的威胁形式。在防止关键信息数据泄露之前,企业应该知道目前的薄弱环节在哪里,比如:哪些类型的数据对攻击者有吸引力?是否有第三方可以进入组织系统?
- 审查安全弱点和漏洞企业在掌握自己可能面临的攻击面之后,就需要针对每个攻击风险级别采取合适的保护措施准备,对存在的问题进行修复。企业需要对现有的安全基础设施进行客观评估,并确定各安全工具是否可以正常发挥作用。
- 评估漏洞的风险级别当企业发现已存在的安全风险和漏洞后,接下来就是对其可能产生的影响和后果进行评估,并说明这些漏洞被利用的后果。哪些漏洞的风险最高?发生入侵的可能性有多大?攻击会造成多大损失?风险必须根据其严重程度和影响进行排序。
- 实施缓解和修复计划实施OpSec的根本目的,是为了降低企业的安全风险。因此在发现潜在的风险漏洞并评估优先级后,就要采取对应的修复措施。需要特别说明的是,风险是在不断的变化中,并没有100%的安全,安全运营团队需要在安全投入和防护效果之间实现动态的平衡。
OpSec计划的最佳实践
OpSec计划旨在建立防御潜在威胁的第一道防线,因此需要企业多个部门的密切配合才能发挥最大的作用。如果企业准备构建全面的OpSec防护计划,可以参考以下8个最佳实践经验:
01精确的系统运行管理
定期进行应用系统版本更新是保持系统平稳运行的必要条件,但它们也可能成为攻击利用的载体。为了保护系统运行安全,必须实施精确的系统版本管理流程,包括强制记录、变更控制、持续监视和定期审核。
02选择合适的服务商
现代企业需要通过第三方供应商来提供一系列服务,以改善客户和内部业务体验。然而,第三方服务商也是重大风险的来源。如果合作伙伴不能与企业保持一致的网络安全价值观,那么就应该选择一个新的服务商了!事实上,如果第三方服务商未能满足安全法规的要求导致违规行为或风险事件产生,企业需要为此负责。
03限制对网络和设备的访问
不是任何人都可以访问企业的网络和业务系统。只有经过批准并得到验证的设备才能连接到业务网络。企业应该设置警报机制,以防未经授权的设备非法连接到网络系统,因为这可能对敏感业务数据构成威胁。
04遵循最小特权原则
实施包含多因素身份验证(MFA)和密码管理的零信任策略可以帮助企业阻止未经授权的用户。同时,企业应该将员工权限限制在“工作必需”的最低基础上,这样可以最大限度地防止内部威胁,并降低因凭证窃取而导致严重数据泄露的可能性。
05对管理权力的制衡
此举是为了企业安全而实施的“制衡”手段。双重控制(dual control)可以提供更有效的安全性覆盖,而不会将所有责任放在某一个用户或部门。在实际应用中,企业应该是将业务部门的权限与安全团队的权限进行区分,并互相牵制、平衡,防止内部恶意攻击行为的出现。
06利用自动化技术
现代企业面临的一个重大威胁就是人为错误。通过自动化技术,可以将繁琐、重复的人工任务交给机器去完成,这样可以帮助组织减少人为失误,降低数据泄露或其他安全事件的可能性。
07制定现实可行的政策
如果企业制定的安全政策超出安全运营部门能够实现的范围,那么在内部审计时,您就会发现自己永远处于落后局面。为了保障OpSec计划能够真正落地,企业应该编写具有挑战性但可又实现的安全制度和流程。
08事件响应和灾难恢复优先
没有100%的安全,即使是最成功的OpSec计划,在某些时候也会存在安全问题。因此,企业应该制定详细的事件响应和灾难恢复计划,这样可以大大降低安全事件发生后造成的影响。当企业了解如何应对威胁,并如何减轻损失时,将帮助企业更好地开启OpSec之旅。
