大多數(shù)公司都沒(méi)有正確評(píng)估計(jì)算機(jī)的安全風(fēng)險(xiǎn)，最終導(dǎo)致了安全控制與其最大風(fēng)險(xiǎn)的不一致。這里有我的以數(shù)據(jù)驅(qū)動(dòng)計(jì)算機(jī)安全防御為主題的書(shū)籍。許多安全專家都知道這一點(diǎn)，這就是為什么在我多次談?wù)擄L(fēng)險(xiǎn)管理之后，我仍然會(huì)被問(wèn)及要從SANS的前20大關(guān)鍵控制清單中實(shí)施哪些控制。

      據(jù)我所知，最嚴(yán)肅的計(jì)算機(jī)安全專業(yè)人士都期待著SANS Top 20的每一次更新以及隨之而來(lái)的推送。它包含了非常好的計(jì)算機(jī)安全防御建議，但是和任何行動(dòng)清單一樣，你不可能一次性完美地完成幾件事情。下面是關(guān)于首先要執(zhí)行哪些控制的建議，但首先讓我先來(lái)提供一些SANS清單的歷史。

      現(xiàn)在是CIS控制

      SANS幾年前將Top 20清單交給了互聯(lián)網(wǎng)安全中心(CIS)，現(xiàn)在它被稱為了CIS關(guān)鍵安全控制。CIS是另一個(gè)備受尊敬的非營(yíng)利計(jì)算機(jī)安全組織，已有幾十年的歷史。他們最出名的可能是其發(fā)布的操作系統(tǒng)最佳實(shí)踐安全建議和基準(zhǔn)。如果你想要一個(gè)獨(dú)立的、非政府的實(shí)體對(duì)微軟Windows系統(tǒng)的安全性提出建議，那么CIS就是您的選擇。

     SANS清單始于Tony Sager

     如果你知道它的歷史，那么CIS獲得SANS的Top 20清單就不會(huì)令人驚訝了。該清單是從CIS高級(jí)副總裁兼首席福音傳道者Tony Sager開(kāi)始的。Tony最有名的可能就是他的迷霧重重系列講座，他認(rèn)為信息過(guò)載是阻礙更好的計(jì)算機(jī)安全的主要問(wèn)題之一。

     Tony是一個(gè)聰明、有思想的人，他在國(guó)家安全局工作了34年，一直致力于提高計(jì)算機(jī)安全。大多數(shù)人只認(rèn)為國(guó)家安全局就是間諜的代名詞，但他們也有責(zé)任通過(guò)幫助我們建立和實(shí)施更好的防御來(lái)保護(hù)我們的國(guó)家。為了最后一個(gè)目標(biāo)，Tony就是主要人物之一。他領(lǐng)導(dǎo)了國(guó)家安全局首批的“藍(lán)隊(duì)”之一，并最終成為了國(guó)家安全局漏洞分析和操作項(xiàng)目的首席領(lǐng)導(dǎo)。

      “我可能是少數(shù)幾個(gè)可以說(shuō)自己的整個(gè)職業(yè)生涯都是在國(guó)安局的國(guó)防部門度過(guò)的人之一，”Tony告訴我?！拔冶热魏稳硕几私庀到y(tǒng)是如何失敗的。我能夠從一個(gè)國(guó)家入侵另一個(gè)國(guó)家所做的事情中，了解他們是如何做到的，以及為什么沒(méi)有能夠阻止他們，從這兩個(gè)角度可以看到什么在保護(hù)計(jì)算機(jī)方面起了作用，什么沒(méi)有起作用?！?

      Tony說(shuō)，最初的清單來(lái)自他和其他的幾個(gè)人，有一天他們被困在一個(gè)房間里，試圖一起找出一個(gè)小清單?！拔覀儾幌胍环菽芙鉀Q世界上所有問(wèn)題的清單。”他們想挑選一些他們都同意的項(xiàng)目，作為他們對(duì)任何想要保護(hù)自己電腦和網(wǎng)絡(luò)的人的最佳建議。一天結(jié)束時(shí)，他們拿出了一份簡(jiǎn)短的清單，最終發(fā)展成了十個(gè)控制。他們對(duì)其進(jìn)行了同行評(píng)審，Tony最終將他的清單發(fā)送給了五角大樓，用他的話說(shuō)是，“作為一種友好的姿態(tài)”。

     他驚訝地看到他的清單最終脫穎而出了，并贏得了信任。由于SANS與政府的密切合作關(guān)系，Tony認(rèn)識(shí)SANS的Allen Paller，他打電話問(wèn)SANS能否接受這份清單，教授它，并推廣它。Tony很激動(dòng)。天哪，SANS拿到了它，帶著它走了。這些年來(lái)，Top 10變成了Top 20。它成為了嚴(yán)肅的計(jì)算機(jī)安全專業(yè)人員用來(lái)保護(hù)他們環(huán)境的清單。

     最終，SANS和Tony認(rèn)為，對(duì)于這份已經(jīng)成為事實(shí)上的全球性安全指南的標(biāo)準(zhǔn)來(lái)說(shuō)，正確的做法是將其轉(zhuǎn)交給非營(yíng)利組織。所以，它從國(guó)家安全局到了五角大樓，又從國(guó)家安全局來(lái)到了CIS。所以，幾十年后，Tony的清單有了一個(gè)組織，Tony也參與其中以確保安全。

      這是Top 20控制的簡(jiǎn)要?dú)v史，現(xiàn)在讓我們回到您應(yīng)該首先實(shí)現(xiàn)的控制上來(lái)。

      CIS Top 20控制中的前五項(xiàng)

      CIS的Top 20安全控制都應(yīng)該被實(shí)現(xiàn)。沒(méi)有一個(gè)是不應(yīng)該盡快考慮和實(shí)施的。它們確實(shí)是每個(gè)計(jì)算機(jī)安全程序都應(yīng)該擁有的最低限度。話雖如此，你也必須從某個(gè)最初的地方開(kāi)始。

       以下是我的Top 5清單：

    ?實(shí)施安全意識(shí)和培訓(xùn)計(jì)劃

    ?持續(xù)的漏洞管理

    ?控制管理權(quán)限的使用

    ?審核日志的維護(hù)、監(jiān)控和分析

    ?事件響應(yīng)和管理

       實(shí)施安全意識(shí)和培訓(xùn)計(jì)劃

       根據(jù)Verizon的2019年數(shù)據(jù)泄露調(diào)查報(bào)告，高達(dá)90%的惡意數(shù)據(jù)泄露是由網(wǎng)絡(luò)釣魚(yú)和社會(huì)學(xué)工程造成的。僅此一點(diǎn)就使得第一條控制變得形同虛設(shè)了。與許多攻擊類型一樣，您可以使用技術(shù)控制(例如，防火墻、反惡意軟件、反垃圾郵件、反網(wǎng)絡(luò)釣魚(yú)、內(nèi)容過(guò)濾)和培訓(xùn)相結(jié)合的方式來(lái)進(jìn)行防御。

無(wú)論您使用什么樣的技術(shù)控制，一些網(wǎng)絡(luò)釣魚(yú)最終都會(huì)傳遞給最終用戶。這就是為什么你要教所有的用戶如何識(shí)別惡意，以及當(dāng)他們看到惡意時(shí)應(yīng)該怎么做的原因。如何進(jìn)行安全意識(shí)培訓(xùn)由您自己決定，但教育應(yīng)該一年進(jìn)行多次，每季度都必須有一次以上。低頻率的培訓(xùn)無(wú)助于降低風(fēng)險(xiǎn)。

       持續(xù)的漏洞管理

       未打補(bǔ)丁的軟件在所有成功的數(shù)據(jù)泄露事件中占到了20%到40%，這使它成為了組織成功被入侵的第二大常見(jiàn)原因。漏洞管理絕對(duì)應(yīng)該是你的第二個(gè)優(yōu)先事項(xiàng)。這不僅意味著需要掃描環(huán)境中的漏洞和缺失補(bǔ)丁，還要盡可能地自動(dòng)化修補(bǔ)程序。

       需要修補(bǔ)什么?在去年公布的16555個(gè)單獨(dú)的漏洞中，只有不到2%的漏洞被用于危害某個(gè)組織。幾乎所有這些人都利用了無(wú)人管理的代碼，這是軟件漏洞是否會(huì)被用來(lái)攻擊組織的最佳預(yù)測(cè)。如果公共領(lǐng)域中沒(méi)有列出一個(gè)漏洞，就可以降低其重要性。

       其次，我們都知道受攻擊最嚴(yán)重的客戶端漏洞是瀏覽器和瀏覽器加載項(xiàng)，其次是操作系統(tǒng)漏洞。在服務(wù)器端，漏洞主要與網(wǎng)絡(luò)服務(wù)器軟件、數(shù)據(jù)庫(kù)和服務(wù)器管理有關(guān)。是的，其他類型的軟件也可能會(huì)受到攻擊，但以上這些類別是迄今為止最容易受到攻擊的類型。從積極修補(bǔ)這些類型的軟件程序開(kāi)始，您的計(jì)算機(jī)安全風(fēng)險(xiǎn)將大幅下降。

      控制管理權(quán)限的使用

      最大限度地減少管理帳戶的數(shù)量并使用高安全性來(lái)保護(hù)管理帳戶是明智之舉。大多數(shù)試圖闖入你的環(huán)境的不良行為會(huì)在最初的利用后把提升賬戶權(quán)限作為第一要?jiǎng)?wù)，這樣他們就可以造成最大的損害。對(duì)于攻擊者來(lái)說(shuō)，你沒(méi)有和不經(jīng)常使用的每個(gè)管理帳戶都是一個(gè)目標(biāo)。

      ?減少任何高權(quán)限組的成員數(shù)量

      ?要求所有升級(jí)的賬戶使用多因素身份驗(yàn)證登錄

      ?要求檢查提高權(quán)限的憑證

      ?提權(quán)時(shí)間的限制

      ?大量記錄此類使用和登錄

      想阻止對(duì)您的計(jì)算機(jī)和網(wǎng)絡(luò)的最嚴(yán)重的惡意濫用嗎?請(qǐng)阻止壞人獲得管理員權(quán)限。

      審計(jì)日志的維護(hù)、監(jiān)控和分析

      Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告得出結(jié)論，大多數(shù)安全日志中都存在惡意入侵的證據(jù)，如果組織能夠分析他們的日志，由此造成的損害就可能會(huì)最小化。我明白，收集和分析日志并不容易。它需要收集數(shù)以億計(jì)的事件，其中的大多數(shù)并沒(méi)有表現(xiàn)出惡意，這是在大海撈針。

     這就是為什么您需要一個(gè)頂級(jí)的事件記錄系統(tǒng)來(lái)為您聚合和分析日志。一個(gè)好的安全信息事件管理(SIEM)系統(tǒng)應(yīng)該可以為你做好所有的艱苦工作。您所需要做的就是響應(yīng)指示的可疑事件，并修改和訓(xùn)練系統(tǒng)，以最大限度地減少誤報(bào)和漏報(bào)。

      事件響應(yīng)和管理

      無(wú)論你做什么，都會(huì)有人通過(guò)你的防御。從來(lái)沒(méi)有完美的防守，所以要盡你所能做好失敗的計(jì)劃。這意味著需要開(kāi)發(fā)有效的事件響應(yīng)人員、工具和流程。事件響應(yīng)的調(diào)查和補(bǔ)救越好、越快，對(duì)環(huán)境造成的損害就會(huì)越小。

     對(duì)于您應(yīng)該實(shí)現(xiàn)的Top 5安全控制(如電子郵件和瀏覽器控件)，還有許多其他強(qiáng)有力的競(jìng)爭(zhēng)者，但這些才是我會(huì)放在任何人的安全控制清單最前面的。一些控制并不像許多人所想的那么有幫助，比如網(wǎng)絡(luò)訪問(wèn)控制和密碼策略。人們花在這兩個(gè)控制上的每一分鐘都不如花在更大問(wèn)題上的時(shí)間。

     最后一點(diǎn)：最常見(jiàn)的root漏洞利用(社會(huì)工程和未修補(bǔ)軟件)是自計(jì)算機(jī)發(fā)明以來(lái)最常見(jiàn)的攻擊類型。我們需要做的用來(lái)對(duì)抗他們的事情也沒(méi)有太大的改變。我們只需要把注意力集中在少數(shù)玩家身上，并減少他們的影響。