报告数据泄露并非不可避免

报告数据泄露并非不可避免

又一天，又一次数据泄露。看似不可避免的成功攻击会在infosec的专业人士中滋生出一种绝望的感觉。

但SANS研究所本周发表的一份白皮书说，他们不应该放弃。该文件称：“如今，员工和预算有限的大公司和小公司都采用了行之有效的技术，这些技术能够抵御或避免大多数攻击，并极大地减少成功的攻击造成的伤害。

“例如，那些强调积极主动的安全努力以减少关键业务资产中的漏洞的组织，比那些没有技能和工具来优先和集中安全努力的组织更不可能遭受重大业务损害。成功的安全计划不仅仅依靠更快的事故反应来应对伤害避免和减少的挑战。”

建议中没有什么新的内容，但这篇文章提醒我们，采取众所周知的步骤来避免某些漏洞和减轻其他许多漏洞将降低一个组织成为受害者的可能性。

把钱花在网络安全上并不能证明一个组织正在变得更好。问问多伦多的副尼古拉斯·约翰斯顿...

投资建立安全运营中心的组织在网络安全方面的投入越来越多，但是......

“关键是让安全团队了解业务影响，能够用这些术语表达风险，并能够展示安全方面的改进如何导致可衡量的业务影响减少，”该报表示。“通过培养局势意识(及时准确地了解我们需要保护什么、存在什么样的脆弱性以及对这些目标有哪些真正的威胁)，并将其与优先预防和缓解行动的工具和技术相结合，安全小组可以迅速采取行动，避免最具破坏性的事件，并以指数方式减少不可避免的事件对业务的损害。

本文提出的一个关键点是，深入防御-增加大量的层次和工具-不是一个解决方案。优先安排工作人员资源和采购安全产品和服务，首先处理风险最高和最常见的领域，是有效和高效的网络安全的关键。

因此，例如，一个组织需要制定安全策略，创建一个基线(库存硬件/软件，发现您的漏洞)，评估风险(并解决这些问题)，减轻风险(通过补丁和变更管理)，消除风险的根源(通过软件分析、网络体系结构、意识培训、特权管理)，以及监测和报告(通过事件响应、日志安全分析)。

记录和连接程序对于创建可重复和适应性强的安全流程至关重要。使用网络安全框架(如NIST网络安全框架、CIS关键安全控制、PCI数据安全标准优先指导方针、健康信息信任联盟(H IT RUST)共同安全框架)是重要的。事实上，SANS-像其他专家一样-坚持认为，在前六个CIS控制之后(例如创建和维护硬件/软件库存和控制管理特权)可以击败绝大多数真实世界的攻击。

“识别、缓解和屏蔽漏洞所需的基本安全流程和控制措施是众所周知的，”该文件说。”关于威胁和攻击的信息并不缺乏。为了在预算和人员配置的现实约束下取得成功，网络安全管理人员需要首先关注能够跟上业务速度和攻击快速演变的综合流程，然后实施“武力倍增器”，以支持安全资源的准确和及时优先排序。

“通过将资源集中于保护最关键的商业资产免受最具破坏性的潜在威胁，安全计划可以避免许多违规行为，并大幅降低任何确实发生的业务影响。