建構強大的網路彈性架構的 5 個步驟

2024 September 16

網路安全的現實很簡單——違規行為總是會發生——而反應性永遠是失敗的策略。擁有網路彈性框架可以將重點從防止攻擊轉移到確保準備就緒、減輕影響並推動快速恢復營運。

無論你喜歡與否,平均 資料外洩造成的損失高達數百萬美元 ,網路彈性不再是可選的。

但我們如何將「網路彈性」轉化為可行的步驟呢?它從一個框架開始。

什麼是網路彈性框架?

網路彈性框架為組織提供了一種結構化的方法來準備、管理網路威脅並從中復原。 

傳統的網路安全方法通常只關注 防止違規行為。相較之下,彈性框架認識到攻擊有時是不可避免的。它建立在預防措施的基礎上,全面關注 事件回應 和業務連續性規劃。

堅實的網路彈性框架可確保組織能夠最大限度地減少網路攻擊的影響、迅速恢復正常運作並滿足監管要求。

網路彈性架構的組成部分包括: 風險預防、 風險管理和 員工培訓

結構良好的網路彈性框架的好處是: 最大限度地減少干擾、 保護聲譽、 簡化合規性以及 透過客戶信任和信心獲得競爭優勢。

建構強大的網路彈性架構的 5 個步驟

量身訂製的網路彈性框架是您的終極 風險管理工具。以下步驟將引導您識別風險、防止 機密外洩等潛在安全問題、如何實施保護措施,並最終降低組織的整體 網路風險狀況。

每個組織都是不同的。擁有滿足您需求的客製化網路彈性框架至關重要。 以下是建構一個的五個步驟。

第 1 步:從風險評估開始

網路彈性框架將您的方法從對威脅做出反應轉變為對威脅進行預測。  這第一步為在個人化網路彈性框架內實施有針對性的、先發制人的安全措施奠定了基礎。

用於風險評估的資產識別不僅僅是伺服器和代碼。了解您的數位皇冠上的寶石意味著全面了解:

  • 系統和基礎設施:伺服器、資料庫、網路設備、雲端應用程式和所有潛在的入口。
  • 敏感數據: 付款詳細資訊、PII、知識產權、任何洩漏事件所暴露的數據,需要不同的保護等級。
  • 存取點:  CIAM 在繪製誰有權訪問以及什麼可以幫助您收緊數位大門方面發揮著至關重要的作用。
  • 第三方和供應商: 他們的訪問是您的風險——供應鏈攻擊不斷增加,因此請透過您的視角評估合作夥伴的實踐。
  • 漏洞評估: 不只是修補!攻擊者不公平競爭,因此您的評估不應僅檢查 CVE 報告。
  • 考慮錯誤配置: 它們常常是意外的,它們會留下漏洞——安全配置是您的主動修補程式。
  • 程式碼中嵌入的秘密: 暴露的 API 金鑰是金礦。使用 CI/CD 友善工具(例如 CloudGuard Code Security)進行掃描以進行早期修復。
  • 過時的系統:遺留的和報廢的東西很容易被利用。知道什麼必須生存(通常與業務必要性相關)。

利用:

  • 產業特定的來源: 您的產業可能有 ISAC – 利用他們的威脅知識來瞄準針對您的目標。
  • 安全社區: 對漏洞利用的沙箱測試“蜜罐”,可以在其廣泛傳播之前提供早期情報以做好準備。
  • DSPM 工具: 持續的資料狀態檢查有助於識別風險資產、存取規則中的異常值或突然的可疑活動—有關不斷變化的風險的即時情報。

使用框架和法規來幫助您進行風險評估。 這裡有兩個可以提高網路彈性的框架。

  • NIST 網路安全框架: 利用此結構化方法來識別、評估風險並確定風險優先級,以簡化和驗證您的網路彈性框架規劃。
  • ISO 27001: 實施業界標準最佳實務進行徹底的風險分析,幫助您涵蓋所有必要的基礎並建立可信度,同時建立網路彈性框架。 需要入門協助嗎?利用我們的 ISO 27001 自我評估清單取得逐步指導。

第 2 步:實施安全控制

您的風險評估暴露了您的系統和流程中的潛在漏洞。現在,讓我們主動解決這些弱點。

  • 嵌入式秘密的危險: 硬編碼憑證、API 金鑰和分散在程式碼中的其他敏感資料構成了巨大的風險。攻擊者積極掃描這個容易實現的目標並加以利用。
  • 透過秘密管理左移: 使用 CloudGuard Code Security 等工具儘早解決這項危險。 CloudGuard 整合到您的 CI/CD 工作流程中,可掃描潛在暴露的秘密,使開發人員能夠在投入生產之前從源頭解決這些問題。這加強了設計安全實踐並幫助您避免違規。
  • 超越秘密:  安全控制雖然重要,但範圍更廣。

以下是您需要的安全控制和工具。

  • 入侵防禦/偵測系統 (IPS/IDS):入侵防禦/偵測系統 (IPS/IDS) 是威脅偵測和回應(TDR) 策略  的關鍵組成部分 ,它使用工具主動、持續地監控網路流量 。 IPS/IDS 尋找攻擊跡象、阻止有害活動並發出警報以促進快速回應。
  • 安全配置:經常被忽視的是,透過嚴格的安全設定來強化軟體和硬件,減少了針對錯誤配置的 攻擊面 。可以將此視為先發制人地關閉攻擊者試圖撬開的大門。
  • 資料遺失防護和資料安全態勢管理(DLP 和 DSPM): 利用主動監控、偵測並可能阻止週邊內外未經授權的資料移動的解決方案。 DLP 可以減少惡意外洩和代價高昂的意外資料外洩。
  • 端點保護: 在端點層級(筆記型電腦、伺服器等)部署進階解決方案,能夠進行即時惡意軟體偵測、行為分析和回應。隨著威脅行為者更頻繁地針對單一設備,這些工具至關重要。

全面的風險評估不僅僅是識別資產和漏洞。  若要透過攻擊者的眼睛進一步了解您的防禦,請將 MITRE ATT&CK 框架整合到您的流程中。  根據已知對手策略和技術的結構化目錄來繪製您的安全控制,為您的網路彈性框架的有效性提供了重要的視角。

許多產業都有特定的安全基準或標準 (例如,  針對支付資料的 PCI DSS )。使用它們作為關鍵控制的指導,以確保您的網路彈性框架證明業務連續性的合規性。

第 3 步:將檢測轉化為反應

沒有行動的警報是沒有意義的。此步驟將幫助您找到在發現可疑情況時幫助您做出回應的流程。 圍繞監控工具制定可行的計劃可以增強您的框架。

以下是可用於提高可見度和採取行動的工具。

  • SOAR(安全編排、自動化和回應): 考慮使用這些複雜的工具和平台來自動化任務、加速回應工作並協調工具包中不同安全解決方案的活動。
  • 威脅追蹤: 採用主動方法來發現環境中隱藏的攻擊者。使用熟練的分析師、調查工具和威脅情報,不僅僅是回應警報。
  • 桌面演習和演習: 定期進行模擬攻擊的“消防演習”,以在壓力下測試您的事件回應計劃。找出差距並加強您的反應肌肉記憶,以實現最佳準備狀態。

透過無縫CI/CD 安全檢查防止機密外洩等風險不斷出現  。 借助 CloudGuard Code Security 等工具,開發人員可以在不離開工作流程的情況下進行掃描,從而實現早期修復和更強大的安全設計實踐。

從監控到緩解,您還應該牢記以下幾點:

  • 威脅回應手冊
  • 警報優先級
  • 事件回應團隊
  • 日誌資料管理

強大的事件回應手冊不僅僅是通用計劃。制定詳細的逐步指南,概述每個事件階段的精確行動:遏制、根除、恢復和分析。  採用這種預先規劃的方法可以最大限度地減少在時間緊迫時做出瘋狂的決策。 

由於並非所有威脅都是平等的,因此應制定明確的回應層次結構,以簡化重要的分類並將工作重點放在最關鍵的警報上。預先定義明確的角色、職責和溝通管道,並指定誰負責處理違規回應。 這確保了合適的人員能夠迅速參與進來,從而在需要時做出快速、精心策劃的反應。

最後,確定安全日誌記錄實務的優先順序:

  • 強大的日誌收集: 實施徹底的系統和網路事件日誌記錄。
  • 安全保留: 確保收集的資料得到安全保存以供調查。
  • 定期檢討: 建立頻繁且主動的日誌分析實務。
  • 關聯: 利用工具在多個日誌來源之間建立連結。

第 4 步:最大限度地減少干擾,最大限度地恢復

如果發生不可避免的違規事件,您的回應速度和結構化流程將決定結果。 網路彈性框架的重點是盡快恢復,以最大限度地減少停機時間、財務損失和核心營運中斷。

以下是如何為您的網路彈性框架制定全面的回應計畫。

  • 事件分類。 定義需要不同回應計畫和行動的安全事件的分類(例如,惡意軟體與資料外洩)。這種關注可以在混亂的攻擊期間實現量身定制的回應。
  • 通訊矩陣。 準備一份關鍵人員、外部服務提供者和其他利害關係人的詳細聯絡人列表,以便在事件期間進行通知。考慮讓法律顧問或公共關係人員參與進來,以製定更穩健的計劃。
  • 證據保存。 了解根據監管鍊和合規性法規安全捕獲取證資料的技術。證據保存對於潛在的法律訴訟或事件後的深入改進至關重要。
  • 恢復優先級。 預先決定恢復工作期間要優先考慮的重要係統和業務運作。這簡化了流程並減少了對核心生產力和客戶互動的影響。

第 5 步:透過網路安全培訓和意識打造人類防火牆

您的員工通常要么是強大的防禦力量,要么是重大的弱點。他們是你的人體防火牆。 此步驟旨在將您的整個員工隊伍轉變為網路彈性的積極參與者。

以下是您可以將其納入彈性框架的頂級意識方法。

  • 網路釣魚模擬與培訓
  • 密碼安全與最佳實踐
  • 安全行為強化
  • 內部報告機制

文章來源/C​heck Point Blog C​heck Point Blog

返回