CSO防御高级攻击的六大步骤

RSA最近发布了一项针对全球顶级CSO的调查报告，意在帮助企业和政府加强对高级网络攻击的认知，这些高级攻击包括商业间谍、业务和财务运营干扰，以及对企业信息基础设施的破坏。

该报告是业务创新安全委员会（SBIC）发布的系列报告的第九个，同时向业务和技术高管提供了关于如何建立高级攻击情报响应机制的具体建议。

基于17个全球信息安全领导者的真实经验，该报告向企业信息安全管理者提供了具体的指导手册，包括如何利用无处不在的情报数据侦测、预测和打击网络攻击。

“对于网络威胁情报的利用已经不再局限于政府部门——如今企业也需要类似的情报机制才能生存。”RSA执行主席Art Coviello认为：“当今的网络攻击越来越频繁和具有威胁，往往需要采取紧急和大胆的反制措施。这就要求企业不仅能够侦测高级攻击，还能够预测攻击的方式，这样才能采取有效措施防御攻击，降低攻击带来的损失。对抗高级威胁需要有全新的安全理念和更先进的网络威胁情报采集、分享和响应方式。”

全新的高级攻击防御论

SBIC由全球1000强企业的信息安全主管组成，该组织最近的报告题为：“走在高级攻击前面——建立基于情报的信息安全体系”该委员会提倡一种对抗高级攻击的新方法论，也就是所谓的“情报驱动的信息安全”，这是一个协作化的，基于大数据分析的方法，具体包括：

1. 从政府、行业、商业领域和企业内部持续收集可靠的、可行的安全风险数据，更全面地掌握风险和信息泄漏情况。
2. 持续研究网络攻击者，了解他们的攻击动机、攻击手法和案例。
3. 在信息安全团队内部培养获取情报的新技巧。
4. 建立一个流程分析、整合、管理来自多个源头的安全风险数据，形成可指导行动的情报。
5. 对企业IT环境实际情况的全面可视化，包括能够识别正常和非正常的系统或用户行为。
6. 基于对威胁和企业自身情况的全面了解，制定有效的IT风险管理和防范决策。
7. 与其他企业分享有用的威胁信息和最佳实践。

“制定一个多年的长线计划去识别你的攻击者和他们的攻击手段也许是一件痛苦的事，”CISO副总裁Tim McKnight认为：“一两个季度也许你看不到有什么损失，有时候几年后你才会发现损失——一夜之间地球另外一个角落冒出一间公司取代你成为市场领导者，而其研发成果来自你的实验室。”

SBIC的最新报告列出了“基于情报的信息安全”的六大步骤：

第一步：打牢基础

战略性资产的库存管理，强化事件处理流程，进行全面的风险评估

第二步：立项

与高级管理层和主要利益相关者沟通“情报驱动的信息安全”的价值，挖掘那些快速见效的利益点是赢得企业内部和资金支持的关键。

第三部：选人

寻找那些能够将安全技术与分析型思考相结合，同时又善于建立人际关系的人才

第四：建设信息源

决定什么样的外部或内部数据能有助于侦测、预测威胁，或者降低其发生概率，将对数据源的评估作为一种日常工作。

第五步：定义流程

制定一套标准化的方法来生成可执行的情报，确保及时得当的威胁响应，以及制定攻击反制措施。

第六步：实施自动化

寻找各种机会，将多源头的大量数据的分析处理进行自动化。