悟网络安全之道 – 作者:yoursshun

前言

无论是企业网络安全规划、还是网络安全团队文化建设,亦或是网络安全中各项举措的落地,这些工作在开展时,或多或少都会遵循一些原则和道理。这些原则和道理能更好的指引安全工作。本文对网络安全中常见原则和道理做了一些总结,仅供参考。不当之处欢迎指正,遗漏之处欢迎补充!

不以支撑业务目标达成的安全都是“耍流氓”

企业设立的每个部门都有其存在价值,每个部门的目标都应是为了支撑企业的经营发展,支撑业务目标的达成。安全部门绝非例外,安全部门在规划愿景目标时不能在一个小格局里“自嗨”,务必要与企业业务目标相贴合,时刻以支撑、服务企业业务目标达成为己任。否则,安全很可能会成为“找麻烦”、“限速器”的代名词。届时,安全工作的价值会被否定,安全部门会被质疑,安全将始终处于企业“最底层”。

名医启示:神医防微杜渐

“君有疾在腠理,不治将恐深。君之病在肌肤,不治将益深。”

安全从业人员应该具备扁鹊的“医术”,在风险和威胁处于“苗头”时,在安全事件没有造成重大损失时,能通过有效的管控、审计等手段,把“疾病”及时识别出来。

同时,在让大王接受“风险”方面,安全从业人员需要比扁鹊做的更好。否则,最终结果可能是“扁鹊已逃秦矣”,在面试下一家企业被问到离职原因时,只能说“大王不重视安全”。

图片[1]-悟网络安全之道 – 作者:yoursshun-安全小百科

温水煮青蛙

如果把一只青蛙扔进一锅滚烫的水中,它会立刻拼命从水里跳出来逃生;而如果把它放进一锅冷水中,然后慢慢加热,青蛙会一直呆在水里直到最终被烫死。

企业安全建设应居安思危,没发生安全事件不代表没有安全风险,应通过风险评估,及时发现隐患和威胁,早作预防

面对层出不穷的新型技术,面对日趋严峻的攻防趋势,网络安全从业人员也应居安思危,持续学习提升

1624963098_60daf81aee239e137ff59.png!small?1624963100427

KISS原则

“Keep It Simple, Stupid!”直接翻译过来就是“保持简单、傻瓜!” 越是复杂的事情越容易效能低下和资源浪费。解决问题应把握主流,抓住根本,不要人为地复杂化。

网络安全也适用于KISS原则。在系统安全设计时,应尽可能保持系统简单,从而实现稳定、高效和安全;尽量保持管理制度的简明,从而实现明确、可行和安全。

独眼鹿寓言:不要想当然的认为哪里是安全的

一只独眼鹿正在河边吃草,它用一只眼睛看着陆地,留意着猎人,另一侧瞎了的眼睛则对着河流,因为她从未见过猎人从河里出现,恰巧有个猎人乘船从河上经过,一箭射倒了它。

不要想当然的认为哪里是安全的,“想当然”本身就是一种大风险。

安全首先应以“怀疑一切”的角度假设风险存在,然后在去验证风险是否真实存在。比如,不能想当然的认为企业内部就是安全的,其实90%的网络安全事件都是由企业内部引发。

图片[3]-悟网络安全之道 – 作者:yoursshun-安全小百科

木桶原理

用木桶来装水,如果组成木桶的木板参差不齐,那么木桶能盛多少水不是由最长板子决定,而是由最短板子决定,因此又被称作“短板效应”。

木桶原理决定了企业网络安全建设绝非易事,无论哪个方面存在薄弱,都会给企业整体网络安全带来隐患。因此在开展企业网络安全建设之前,一定要进行整体的安全规划,评估各个领域的现状和风险,全面、有节奏的开展安全体系建设

1624963309_60daf8ed53637218f0fbe.png!small?1624963310185

死狗原理:没有人会去踢一只死狗

没有人会去踢一只死狗!没有攻击者会攻击无价值的资产!

对于网络安全来说,威胁和风险是与高价值资产紧密关联的,安全的资源绝不是无限的,有限的资源首先要投入到高价值、高风险的领域。什么是高价值信息资产?通过数据分类分级,我们会知道,哪些数据泄露后影响范围广、影响危害大。通过风险评估,我们会知道,企业核心业务依赖的是哪些人、哪些终端、哪些信息系统。

墨菲定律:怕什么,来什么

如果事情有变坏的可能,不管可能性有多少,它总会发生。

如果网络安全方面存在一个风险,不管风险有多小,它总会发生。

网络安全人员应该要有“洁癖症”,面对风险要“零容忍”,“零容忍”不是要我们彻底解决风险,而是要确保风险一直处于我们的可控范围之内

1624963385_60daf9391ef95c70e0a51.png!small?1624963386845

冰山理论:露出水面的仅仅是冰山一角

一座浮于海面的冰山,露在水面以上的只是其十分之一,而另外90%是看不见的!

日常发生的安全事件、暴露的安全问题也仅仅是“冰山一角”,网络安全决不能总是充当“救火队员”,应该尽快过度到以风险为导向的主动、全面安全体系建设,通过风险的识别评估,尽早发现水面以下的冰山,尽早发现隐患和威胁,积极防御,确保风险可控,防患于未然。

图片[6]-悟网络安全之道 – 作者:yoursshun-安全小百科

破窗效应:破窗会带来更大的麻烦

如果有人打坏了一幢建筑物的窗户玻璃,而这扇窗户又得不到及时的维修,别人就可能受到某些暗示性的纵容去打烂更多的窗户。

网络安全规范制度中,会要求员工的口令应具备一定的复杂度,但弱口令仍然存在,会要求应用系统日志中禁止包含敏感信息,但仍屡禁不止。如果网络安全人员对此熟视无睹,不以为然,那网络安全规范制度将变成“破窗”,会有越来越多的人违反安全要求。所以,安全要有红线,安全人员要坚持“底线”,违反红线的行为绝不姑息

1624963655_60dafa47a2a738af9e0eb.png!small?1624963657110

篮子理论:别把所有鸡蛋放在一个篮子里

篮子理论首先是作为一个金融投资理念被提出,用以降低投资风险,但它具有更广泛的适用性,可以用在其它风险管理领域中。比如,“9.11”事件中,上千家公司和机构的重要数据随着世贸大厦一同葬身火海,有的公司就此消失,但还有公司却能在第二天就恢复业务,这就是有没有把鸡蛋放在不同篮子的区别(有些公司做了异地灾备)。

对企业来说,做好数据备份是确保业务连续的重要手段。除了信息和数据,相关的人员、设备、服务等,都需要基于冗余和备份的思想,将其纳入到统一的业务连续性管理当中。如果条件允许,安全设备的异构也是把鸡蛋放在不同篮子的一种方式。

1624963685_60dafa656568089640ec8.png!small?1624963686725

懒蚂蚁效应:资源优化出“懒蚂蚁”

一个蚁群中,在辛勤忙碌的工蚂蚁背后,总有一定数量的懒蚁,它们“无所事事”,“游手好闲”。这些从不干具体事务、看似好吃懒做的蚂蚁,实际上担负着开辟食源、危险预警、组织分工等特殊使命。懒蚂蚁把大部分时间都花在了“侦察”和“研究”上。它们能观察到组织的薄弱之处,防卫预警,拥有让蚁群在困难时刻仍然存活的本领。一旦蚁群遭遇危机,懒蚂蚁就会挺身而出,指挥全体蚂蚁寻找出路、渡过难关。

网络安全负责人切忌整天都忙于上传下达、沟通协调等琐事,久而久之就变成了“近视眼”,只着眼于眼前具体事务,一定要拿出一定的精力用来观察和思考方向性的东西。团队资源优化出“懒蚂蚁”是有必要的,“懒蚂蚁”可以为团队发现问题、并提出优化建议。

1624963725_60dafa8db0962fbfd2d53.png!small?1624963726670

没有卡点、管控、审计的安全要求等同于没要求

如果仅仅是提出一项安全要求,而没有在管理上设置卡点、没有在技术增加管控措施、没有在审计上设立检查机制,那这项安全要求基本上不会被很好的执行,等同于没有要求

Talk  is cheap ,  Show  me  result ,  And let  me check !

如果你不能度量它,你就无法改进它

网络安全工作非常重视PDCA,在Check检查工作中,每项工作都应有明确的目标,目标要尽可能量化,这样才能确保目标是可度量的,工作完成后要对比结果与目标的差距,看到差距后才能改进优化

比如防病毒工作,要设定量化的工作目标,如防病毒客户端安装率、病毒查杀率、病毒库更新成功率、病毒降低率。

比如SDLC工作,要设定量化的工作目标,如SDLC需求覆盖率、安全分析及时率准确率、安全开发漏洞引入率、安全测试漏洞漏检率等等。

1624963784_60dafac85e28cebdb3d1c.png!small?1624963785343

来源:freebuf.com 2021-06-24 06:48:27 by: yoursshun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论