如何建立有彈性的網絡安全團隊
現代網絡危機可謂包羅萬象。企業想要阻止導致其業務停頓、聲譽受損、價值貶值的安全事件,需要調動所有員工做全面、實時、動態的響應。因此,企業需要培養和發展一個更具開放思維、更有彈性、更敏捷的網絡安全團隊。因為伴隨一系列全新因素的出現,今天被奉為神圣的安全計劃,不一定能夠應對明天的威脅。
據安全機構immersivelabs的調查數據顯示,效率超過90%的安全響應活動平均有11人參與,這表明網絡安全參與人員的廣度會影響響應效率;在應對網絡危機時,教育培訓機構比其他組織更重視團隊協作,其參與人數(21名)是第二名(咨詢技術,7名)的三倍;在網絡安全團隊處置危機效率方面,表現較差的是醫療保健行業,得分僅為18%,明顯低于制造業(85%);金融和政府這兩個利益相關者群體復雜且監管負擔沉重的重點行業,得分為45%和64%,略好于醫療保健行業。
各行業的網絡危機應對效率
建立更有彈性的網絡安全團隊
持續演進的網絡威脅將攻擊者的能力擴展到極限——每個威脅都在多個階段執行,并針對組織的不同部分。大型組織面臨的網絡威脅挑戰復雜且任務艱巨。雖然每個組織擁有和所需的網絡安全知識、技能和判斷力存在很大差距,但都可以從第一步理解數據開始開展相關工作。
大型組織網絡安全團隊選擇的能力類型,從1-12受歡迎度遞減
上圖向我們展示了大型組織中的網絡安全團隊更傾向于具備哪些MITRE能力,其中較受歡迎的是執行能力,其次是防御逃逸、發現、特權升級、持久性、初始訪問、命令與控制(C&C)、憑據訪問、橫向移動、影響、數據滲出、信息收集能力等。
總的來說,網絡安全團隊似乎更愿意了解被入侵的過程,而非那些與攻擊后果有關的技術。
數據顯示,了解代碼如何運行的執行能力比數據收集或數據滲出(在攻擊鏈的下游)更受歡迎。在這些特定技能中,最重要的是理解代碼執行的基本原則,比如編寫腳本和理解命令行接口等。
雖然以妥協為重點的技能更受歡迎,但也需要更長的時間來掌握,其中,初始訪問用時最長,緊隨其后的是特權提升、持久性、發現、防御逃逸、執行、憑據訪問、橫向移動。相比之下,信息收集、C&C、數據滲出和影響的時長低于平均水平,只需10多分鐘。
完成MITRE能力的時長分布,1最短,12最長
數據顯示,大型組織內部網絡安全團隊平均需要3個多月(96天)的時間來開發防御網絡入侵威脅所需的技能。大型機構的安全團隊平均花費6個月(204天)的時間才能掌握一種新型破壞性威脅——流行郵件傳輸代理Exim中的一個關鍵、被積極利用的漏洞,導致410萬個系統可能受到攻擊。
國家關鍵基礎設施提供者在學習網絡威脅防御技能時耗時最長。其中基礎設施和交通行業平均耗時超過4個月(137天),這是最快速度(休閑娛樂,65天)的兩倍之多。
在培養員工網絡防御能力方面,娛樂、電子商務和媒體等以數字為核心的行業,明顯優于其他行業;政府機構和金融服務這兩個更成熟的行業表現也不錯;有趣的是,基于傳授知識業務模型的咨詢行業居然在這方面排名落后。
提升人的安全能力,保護應用程序
軟件漏洞直接導致了最近引人注目的安全問題——Log4j和SolarWinds僅是其中較為突出的兩個案例。許多組織中存在的文化缺失和知識鴻溝,進一步加劇了應用程序安全風險。因此,企業需要不斷加強企業文化建設、彌補知識鴻溝,激發人類潛能以保護網絡安全,特別是應用程序安全。在這一過程中,首先需要了解開發團隊希望保護哪些語言,它可以提供關于應用程序安全知識、技能等方面的指導,以進一步了解企業的網絡彈性。
開發團隊更希望保護的語言占比
研究顯示,從整體看,組織更關心python(31%)和Java(29%)開發語言相關的安全問題,使用這些語言進行安全開發的數量是PHP(15%)的兩倍。相比之下,Ruby和c就不那么受歡迎了,分別只占比4%和7%。
按行業分析各種開發語言的占比
按行業分析,金融服務和制造業非常傾向于Java,分別有58%和62%的應用程序安全功能都是用Java語言編寫的,是python語言的3倍多;而政府更傾向于于用PHP語言編寫。
其次,安全人員需要多長時間才能掌握應用程序安全知識、技能等,成為衡量企業網絡彈性的重要因素。數據顯示,平均而言,應用程序安全團隊人員掌握相關技能的速度要快于傳統網絡安全團隊。事實上,78%的應用程序安全功能開發速度超過了預期,與此形成鮮明對比的是,僅有11%的傳統網絡安全團隊超出預期。
在按部門分析,出現了一些有趣的趨勢。數據顯示,以高度數字化轉型而聞名的金融服務機構耗時較長,比預期完成時間慢了近3分46秒,比制造業慢了10分鐘。
未來的網絡安全人員具備哪些知識和技能?
人類網絡安全能力缺失是有案可查的,不管是專業人士,還是其他人員都會缺乏某一方面的知識、技能和判斷力。
隨著萬物互聯時代的開啟,如何確保互聯設施不會被惡意行為者濫用成為棘手問題,這需要不斷提升人的能力。研究發現,相對于特定技能,網絡安全人員更想學習基礎知識,如了解安全意識和管理、風險和合規等核心概念。
網絡安全人員在各項技能中的參與度得分
除基礎知識之外,網絡安全人員參與度較高的是紅隊/進攻性技能,平均參與度為6.9。其中,基礎設施攻擊和偵察兩種能力占所有進攻性技能的73%。這也再次印證前面提及的網絡安全人員更加關注入侵起始點的論點。此外,應用程序安全技能的參與度較低,只有進攻性網絡安全技能的1/4,考慮到不安全軟件是導致2021年一些大規模網絡入侵的原因,這突顯出該行業未來可能會面臨的一個問題。
研究還指出,未來的網絡安全人才在保護云環境方面略微領先于其他專業人員。
結語
實現真正的網絡彈性無疑是困難的。一連串的勒索攻擊和供應鏈攻擊都證明了這一點。然而,在網絡安全世界中,彈性比以往任何時候都更加重要。雖然保護和防御的能力仍然不可或缺,但這還遠遠不夠。面對當今包羅萬象、不斷演變的威脅場景,需要將網絡風險策略深入到整個組織,同時還要保持敏捷性。網絡彈性不再僅僅是讓網絡安全團隊的事情,而是關乎企業整個團隊的事情。要實現這一目標,就需要整個組織的網絡知識、技能和判斷得到持續發展。
