人,永远是网络安全的关键

admin 2022年11月25日23:34:22评论21 views字数 2400阅读8分0秒阅读模式
我们把网络安全都归结到人,是没有任何问题的。领导是人,那么决策者也是人,做管理的是人,做技术的也是人。技术是人发明、使用的,工作是人开展的,系统是人维护的,无非是不同维度人的不同角色的实践,从而人是唯物的又是唯心的,唯物的是他不能脱离客观规律而异想天开的存在与成长,唯心的是坚持客观规律循序渐进,提升总体能力和水平,是完全可以发挥其主观能动性的,同时如果一个人没有脚踏实地,净是“唯心”唯我独尊,脱离客观规律,乱指挥、乱操作,那么对网络安全带来的风险也是致命的。可谓唯有人,宇宙才光明;唯有人,世界才混乱;唯有人,世界才可治。我们结合国外的一些观点,谈谈网络安中的“人”的脆弱性!
1. 人永远是安全的关键。
多年来,我们一直采用分层防御,如果一个失败,另一层就会阻止攻击;我们一直在寻找下一个“银弹”安全技术来解决我们所有的网络安全挑战;而且,我们已经订阅了越来越多的威胁源以改善安全态势。显然这些方法没有奏效。我们继续受到大量关于妥协和破坏的头条新闻的轰炸,攻击的速度也在增加。 
在所有这些活动中经常被忽视的一个方面是人与技术之间的相互作用。毕竟,安全专业人员是了解其环境和安全状况并能够定义风险的人。他们也是有经验的人,可以决定在他们的环境中采取正确的行动。当然,防御层、新技术和威胁源对于降低风险是必要的。但是这些工具无法在自动驾驶仪上运行。人类智慧——直觉、记忆、学习和经验——是必不可少的。 
重点应该放在寻找弥合人与工具之间差距的方法上,以加强防御。例如,安全专业人员淹没在其安全架构中每一层生成的数据中,这些数据创建了自己的日志和事件。更不用说来自商业来源、开源、政府、行业和现有安全供应商的数百万全球威胁数据点。通过一个将内部威胁和事件数据与有关指标、对手及其方法的外部数据相关联的平台,团队可以快速获得上下文以了解攻击的人员、内容、地点、时间、原因和方式。现在,他们可以根据与环境的相关性进行分析并确定优先级。
2. 高技能网络安全人才供不应求。
鉴于全球网络安全专业人员短缺(根据 ISC2,目前已超过 400 万),以及我们所有人都必须应对的日益复杂的威胁的数量和速度,防御者需要能够自信地更快地采取行动。如果我们想留住并更好地利用现有的安全专业人员,我们就必须将某些耗时的手动任务自动化。当团队陷入日常任务和对警报做出反应时,他们没有时间与真正的威胁作斗争并迅速进行调查以降低风险或主动加强防御。 
但是,我们需要在安全生命周期的早期引入自动化才能有效。我们都知道安全团队正在处理大量的噪音。跳到安全生命周期的末尾并使用自动化来采取行动——例如自动化剧本和自动将最新情报发送到传感器网格(防火墙、IPS/IDS、路由器、网络和电子邮件安全、端点等)——可能会适得其反并制造更多噪音。 
减少噪音的最佳方法之一是尽早引入自动化以加速和简化威胁数据的评分和优先级排序。根据特定公司的风险水平应用自动评分框架将情报过滤到可管理的子集中,可以将可操作的数据集减少 95% 或更多。现在,高技能资源可以专注于对组织真正重要的事情。他们保持参与和积极性,生产力飙升。
3. 人是我们最薄弱的环节。
由于工作场所个人设备和应用程序的激增,以及安全责任完全由雇主承担的信念,安全中最薄弱的环节将继续是人为因素。如果我们成功地弥合了人与工具之间的鸿沟并尽早引入自动化,安全团队将更好地武装起来主动寻找威胁。当他们发现恶意活动时,他们将能够在安全生命周期结束时更加自信和可靠地应用自动化。使用最新情报自动更新传感器网格可将防御能力提高几个数量级,并让团队腾出时间继续进行下一个高优先级活动。 
与此同时,我们需要在教育方面加倍努力,帮助个人了解他们可能在不知不觉中给组织带来的风险,以及他们在帮助减轻风险方面的作用。根据 SANS,集中培训解决三大人类风险:网络钓鱼/社会工程攻击、密码和由于缺乏意识和技术复杂性而导致的事故。为了真正改变行为,SANS 建议超越年度基于计算机的培训,并通过其他方法全年不断地培训和强化关键概念,包括演讲嘉宾、大使计划、游戏、信息图表和时事通讯。 

人,永远是网络安全的关键


>>>等级保护<<<
  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
  1. 工业控制系统安全:信息安全防护指南
  2. 工业控制系统安全:工控系统信息安全分级规范思维导图
  3. 工业控制系统安全:DCS防护要求思维导图
  4. 工业控制系统安全:DCS管理要求思维导图
  5. 工业控制系统安全:DCS评估指南思维导图
  6. 工业控制安全:工业控制系统风险评估实施指南思维导图
  7. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  8. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
>>>数据安全<<<
  1. 数据安全风险评估清单

  2. 成功执行数据安全风险评估的3个步骤

  3. 美国关键信息基础设施数据泄露的成本

  4. VMware 发布9.8分高危漏洞补丁

  5. 备份:网络和数据安全的最后一道防线

  6. 数据安全:数据安全能力成熟度模型

  7. 数据安全知识:什么是数据保护以及数据保护为何重要?

  8. 信息安全技术:健康医疗数据安全指南思维导图


原文始发于微信公众号(祺印说信安):人,永远是网络安全的关键

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月25日23:34:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   人,永远是网络安全的关键http://cn-sec.com/archives/1419948.html

发表评论

匿名网友 填写信息