有时网络安全最大的敌人就是其本身

安全工程师教程

于 2024-09-02 21:45:24 发布

阅读量513

点赞数 6

文章标签： web安全安全

本文链接：https://blog.csdn.net/weixin_46428928/article/details/141831101

版权

前言

Enterprise Strategy Group 的安全分析师Jon Oltsik表示，大多数组织都面临着一个基本的信息安全问题，即强大的网络安全依赖于一系列不相关的工具和技术。“这并非什么新鲜事了，业内对此问题已经谈论了很多年，但它仍然没得到较好的解决。”

Oltsik以网络风险管理为例，他表示，当组织识别数字基础设施的威胁和漏洞时，会采取相应的风险缓解措施，而只要是达到一定规模的组织，他们的网络风险管理往往会包含大量的技术，比如攻击面管理（ASM）、漏洞管理（VM）、云安全态势管理（CSPM）、网络威胁情报（CTI）源、配置管理数据库（CMDBs）、渗透测试和红队测试工具等。

那么问题来了，组织该如何将这些安全工具组合在一起？当下的人工智能虽然如火如荼，但始终无法摆脱的现实是，许多组织仍然需要依赖于手工流程和电子表格。

下面这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码即可自动领取↓↓↓

在这里插入图片描述

安全平台的局限性

当然，安全技术供应商已经认识到了这一普遍存在的问题，他们因此提出了一系列解决方案。Oltsik介绍，首先是安全平台的概念，这也是最为供应商津津乐道的。在此模型下，用户只需从某个供应商那里购买所有安全工具，并让供应商代表自己进行集成工作。“虽然这听起来很吸引人，但类似于这样的安全平台只适用于规模较小的组织，而对于大型企业来说，安全平台存在一定的局限性。”

Oltsik指出，平台二字是“供应商锁定（vendor lock-in）”的代名词，这是许多大型组织想要避免的结果。然而，即使某个大型组织愿意使用安全平台，其将分布式工具迁移到中央平台可能也需数月或数年的时间。鉴于这一点，安全平台供应商需要说服各式各样的用户去相信“这笔买卖是值得的”，而这对于持怀疑态度的甲方安全人员来说，其实“并不那么好进行”。

“首先最主要的一点原因：威胁态势和相关的安全需求变化总是会超越安全平台的功能。组织对此要如何弥合这些差距？所以使用为特定用例所设计的垂直工具才是各组织的需求所在。”

依赖API进行安全集成是错误的

Oltsik提问，拥有复杂IT基础设施和应用环境的大型企业，可能不会用“浅尝辄止、广泛覆盖”的安全技术平台来满足其安全需求。那他们会怎么做呢？

“从现实来看，安全技术供应商似乎还有另一招：应用程序编程接口（API）。即不同的工具可以通过API进行连接，从而实现相互联动，这样一来，网络安全态势就能无懈可击了吗？很显然，答案是不。”

Oltsik解释道，理论而言，API连接似乎不错，但在具体实践时却极其有限。为了让安全工具更好的协同和联动，安全供应商必须向其他供应商开放他们的API。然而，供应商们往往只会开放部分API，这便会阻碍协同时的效率，有时供应商甚至已经开放了所有的API，但仍然会存在问题。

“比如某客户希望他们的漏洞管理供应商能与端点检测和响应（EDR）工具进行集成，并且该客户已经安装了Crowdstrike、SentinelOne和Trend Micro的EDR。当漏洞管理供应商需要与这三家供应商进行合作时，意味着彼此之间要完成三组不同的API集成。这可是巨大的工作量，所花的时间成本难以估算。”

整个安全市场存在根本问题

而在Oltsik看来，网络安全技术整体上存在一个根本的连接问题，这可以归结于资本主义或说利己主义冲突。“让人无奈的是，从古至今，市场上只有利己主义是不会改变的。所以供应商只会为了保护自己的技术以获得竞争优势。”

Oltsik感叹道，一些供应商可能赢得了战役，但这对于身处社会、身处安全行业的甲方安全人员而言，却着实在这场战争中“输得”一败涂地，因为这样的战争结果使得本就难以推进的网络安全变得更难运营了。“举个例子，据我所知，没有任何一个漏洞扫描器能直接从竞争对手的扫描器中获取数据。因此，如果安全人员碰巧在组织的内部环境中使用了各种扫描器，他就需要自行将这些数据作为风险缓解任务的一部分进行集成，尽管每个扫描器都执行相同的基本功能。显然，这增加了不必要的工作量。”

如何解决网络安全行业的脱节问题

那我们该如何解决这个问题呢？Oltsik建议，组织可以采用一种开放式的架构方法，比如ESG的安全运营和分析平台架构（SOAPA）或Gartner的网络安全网格架构（CSMA），这些架构依赖于一些开放标准的创建和协议，包括：

1、数据格式标准。Oltsik表示，他对开放网络安全框架（OCSF）感到鼓舞，但它的出现经过了很长时间，而且太多供应商还没有加入这一态势。因此Oltsik希望看到更多的融入和进展。

2、标准API。Oltsik指出，在同一技术类别中，不需要用多种语言来连接不同的工具。每个领域的供应商或一些中央治理机构应该帮助创建和管理这些项目。

3、补救行动标准。“如果我想阻止一个妥协计划或生成一个虚拟补丁作为补偿控制，我需要能够与各种终端安全软件、防火墙和IDS/IPS系统通信。因此，市面上应该具备一种方法来告诉所有安全控制执行此操作。几年前，我对一个名为Open C2的标准持乐观态度，该标准可以承担这一角色。”

>>>

Oltsik表示，他知道标准化工作可能会让组织内部变得更为混乱，比如会将安全防御机制变成工程科学项目。“但我会通过指向STIX/TAXII标准来反驳这一观点。从现实来看，这些标准提供了一种一致的方式来描述和传达威胁情报的详细信息。通过这种方式，STIX/TAXII提高了威胁情报分析，同时也提高了后续风险缓解行动的有效性和效率。”

谁可以推动网络安全标准化工作？

那谁该为行业提供或推动这样的网络安全标准呢？Oltsik认为，政府机构完全可以胜任，当然，MITRE、ENISA或某种类型的合作项目也可以成为推动的主体。“再比如，金融服务行业的大型组织可以让他们的安全工程师聚在一起，制定一些标准，然后向整个行业发布强制要求。”

Oltsik表示，他记得一个类似的组织叫做Jericho Forum，其在2000年代初期专注于网络安全。此外，像亚马逊、CrowdStrike、微软或帕洛阿尔托网络这样的科技巨头也可以引领潮流，然后推动其他人加入。“在我看来，这对整个行业来说是双赢的。在标准管道协议达成一致的情况下，供应商将能够自由地将资源集中在特性和功能上，而且还不会影响竞争。”

1972年，漫画《Pogo》里有一句名言：“我们遇到了敌人，而敌人正是我们自己。”

不幸的是，Oltsik认为，在网络安全技术领域，这句话同样适用。将资本主义、利己主义置于一切之上，这使得网络安全变得更加困难，同时也将我们所有人都置于了风险之中。“现在正是我们网络安全界团结起来，要求合作的时候了。在接下去日益复杂的世界里，这点至关重要。”

其他一些“将安全工具弄巧成拙”的例子

除此之外，公司内部也常会出现一些“网络安全工具反而成为网络风险”的例子，这通常是由于工具使用不当、配置错误或管理不善所导致的。以下是一些可能的情况：

未及时更新或配置错误的防火墙

案例说明：防火墙是保护公司网络免受外部攻击的第一道防线。然而，如果防火墙未及时更新以抵御新出现的威胁，或者配置错误导致合法流量被误阻或非法流量被放行，它就可能成为网络安全的薄弱环节。

风险影响：未更新的防火墙可能无法识别并阻止最新的恶意软件或攻击手段，而配置错误则可能导致数据泄露或内部系统被非法访问。

滥用或误用入侵检测系统（IDS）/入侵防御系统（IPS）

案例说明：IDS/IPS用于检测并响应潜在的恶意活动。然而，如果系统被错误配置或滥用（例如，产生过多的误报而被忽视，或者关键警报被错误地抑制），它们就可能无法有效地发挥作用。

风险影响：滥用或误用IDS/IPS可能导致真正的攻击被忽略，或者系统管理员因过多的假警报而降低对安全事件的敏感度。

加密工具的误用

案例说明：加密是保护数据机密性的重要手段。然而，如果加密工具被误用（例如，使用弱加密算法、不安全的密钥管理实践或错误的加密策略），它就可能无法提供预期的保护。

风险影响：误用加密工具可能导致数据在传输或存储过程中被轻易破解，从而造成敏感信息泄露。

安全审计日志的忽视

案例说明：安全审计日志记录了网络活动和系统操作的关键信息，对于识别潜在的安全威胁至关重要。然而，如果日志被忽视或未得到妥善管理（例如，未定期审查、未启用警报功能或未对异常行为进行分析），它们就可能无法发挥应有的作用。

风险影响：忽视安全审计日志可能导致公司无法及时发现并响应安全事件，从而错过阻止攻击或减轻损失的机会。

网络安全工具的滥用

案例说明：在某些情况下，公司内部的恶意用户可能会滥用网络安全工具（例如，利用漏洞扫描器进行非法探测、利用特权访问管理工具进行未授权的数据访问等）。

风险影响：滥用网络安全工具可能导致公司内部数据的泄露、系统的破坏或其他形式的损害。

至于该如何防范，组织内部可以执行以下这些手段：

1、定期更新和维护：确保所有网络安全工具都保持最新状态，并根据最新的威胁情报进行配置。

2、培训和意识提升：加强员工对网络安全工具的认识和使用培训，确保他们了解如何正确、安全地使用这些工具。

3、审计和监控：定期对安全审计日志进行审查和监控，以便及时发现并响应潜在的安全威胁。

4、权限管理：严格管理网络安全工具的访问权限，确保只有授权人员才能使用这些工具。

5、风险评估：定期进行网络安全风险评估，识别并修复潜在的漏洞和弱点。

国内安全专家的建议

当下市面上，确实有很多乙方供应商为了竞争，就只会提供自家的安全平台或产品，形成上文所谓的“供应商锁定（vendor lock-in）”，而不愿和其他厂商进行相应的联动和协同，这为甲方用户带来了诸多不便，甚至会让本该解决风险的安全工具成了安全体系的障碍。此外，还有一些“明明为了安全，最后却变成安全阻碍”的例子。对此，国内安全专家如此建议。

廷桥信息安全总经理董永乐表示，“供应商锁定”（Vendor Lock-in）问题是一个普遍挑战。尤是在网络安全领域，不同的安全解决方案可能来自不同的供应商，它们之间缺乏互操作性和兼容性，不仅增加了管理成本，还可能引入新的安全风险。为了构建更加灵活、高效且安全的信息安全体系，甲方单位可参考以下建议：

采用开放标准和协议

推动使用开放标准和协议是减少供应商锁定的关键。例如，采用如STIX/TAXII

（Structured Threat

Information eXpression/

Trusted Automated eXchange of Indicator Information）这样的标准化威胁情报共享协议，可以促进不同系统之间的信息交换。

多供应商策略

采用多个供应商的产品和服务可以降低依赖单一供应商的风险。同时也能激励供应商提高产品质量和服务水平以保持竞争力。

要求提供API和集成服务

选择那些提供强大API接口的安全产品，可以更容易地与其他系统集成，实现自动化响应和数据共享。优先考虑那些支持行业标准API的服务提供商。

合同谈判

在与供应商签订合同时，应包含关于数据可移植性、互操作性和退出条款的具体规定，确保在需要时能够顺利迁移至其他供应商的产品而不会受到限制。

定期评估和测试

定期评估现有安全系统的性能和效率，开展渗透测试和安全审计，确保安全系统满足不断变化的安全需求。同时也借机检查供应商是否遵守承诺。

建立内部专家队伍

培养内部团队的专业知识和技能，以便更好地理解和应对安全技术的发展。这有助于在更换供应商时，内部团队能够更快地适应和实施新方案。

积极参与制订团体标准、行业标准、甚至国家标准工作

积极参与相关行业组织和社区，如CSA（Cloud Security Alliance）、ISO等，推动更广泛的安全标准和最佳实践的采纳。

要求产品提供完整的数据导出和导入能力

要求厂商提供的产品具备完整的数据导出和导入能力。为将来可能迁移到新产品提供必要的基础。

董永乐表示，甲方单位实施上述策略，可构建一个更健壮、灵活的安全架构，减少依赖单一供应商的风险，提升整体安全性。

至于还有什么“明明为了安全，最后却变成安全阻碍”的例子，董永乐介绍道：“最典型的例子就是防火墙策略。很少见到两家公司的防火墙（OEM除外）的防火墙规则格式相同或者兼容。一方面专有的防火墙规则格式本身是防火墙厂商知识产权，另一方面关键在于缺少标准。如果有标准，要求防火墙厂商将标准格式作为必须实现的功能特性，而自身专有格式作为可选项，就能减少在不同品牌防火墙之间移植规则的难度和花费的时间成本。”

某国企公司安全专家徐彬表示，在网络安全领域中，常会遇到一些明明为了安全而采取的措施，最终却成为了安全阻碍的例子。比如：

过于严格的访问控制：为了确保网络的安全性，安全部门经常禁止互联网远程运维，但是往往在出现紧急故障，需要应急处置时，因为无法线上维护，对快速处置造成影响，无法及时回复业务。
频繁的密码更改要求：为了提高账户的安全性，一些组织要求用户定期更改密码。然而，频繁的密码更改要求可能会导致一些员工选择使用容易猜测或者弱密码，或者将密码写在纸上，从而反而增加了安全风险。
过多的安全警报和通知：为了实时监测和检测潜在的安全威胁，现有态势感知往往会生成大量的安全警报和通知。然而，过度的警报和通知反而会导致安全团队无法区分真正的威胁和误报，从而降低了对真正安全事件的关注度。

“我认为以上这些情况，其实都是统筹安全与发展的问题，在设计和实施安全措施时，需要综合考虑安全性和维护便捷，并找到一个平衡点来确保网络的安全性同时不影响业务的正常运作。”

某金融企业IT负责人胡峰表示，面对市场上乙方供应商“供应商锁定”现象以及由此带来的甲方用户不便和安全体系障碍问题，可以从以下几个方面提出建议：

多元化供应商策略：甲方用户应尽可能采用多元化的供应商策略，避免过度依赖单一供应商的安全平台或产品。通过引入多家供应商，不仅可以促进市场竞争，降低采购成本，还能增加技术多样性和灵活性，减少被单一供应商锁定的风险。
开放标准和接口要求：在采购安全平台或产品时，甲方应明确要求供应商提供符合开放标准和通用接口的解决方案。这有助于不同厂商之间的产品能够更容易地实现互联互通和协同工作，减少数据孤岛和集成难度，提升整体安全体系的效率和效果。
建立战略合作伙伴关系：与供应商建立长期合作和战略伙伴关系，通过共同投入资源、共享技术成果和市场需求信息，促进双方协同发展。这种合作方式有助于增强供应商对甲方需求的响应能力和定制化服务能力，减少因短视竞争而导致的供应商锁定问题。
定期评估与审计机制：建立严格的供应商评估与审计机制，定期对供应商的产品质量、服务水平、技术创新能力和合作意愿等方面进行评估。这有助于甲方及时发现并纠正供应商存在的问题，确保供应商能够持续满足甲方的需求，并减少因供应商不当行为而引发的风险。
建设自主安全管理能力：甲方应重视自主安全能力的建设，通过培养内部安全团队、建立安全管理体系和制定安全策略等方式，提升自身的安全防御能力和应急响应能力。这有助于甲方在面临供应商锁定问题时拥有更多的选择和主动权，同时将不同厂商之间的联动问题转化成内部安全管理协同问题，降低对外部供应商的依赖程度。
推动行业协作与标准制定：积极参与行业协作和标准制定工作，推动建立统一的安全标准和规范。通过行业协作，可以促进不同厂商之间的技术交流与合作，减少技术壁垒和兼容性问题；通过标准制定，可以规范市场秩序，促进公平竞争和健康发展。

另一方面，胡峰指出，这类“明明为了安全，最后却变成安全阻碍”的情况往往发生在安全策略、措施或技术的实施过程中，由于设计不当、过度保护、忽视用户体验或与其他系统不兼容等原因，导致原本旨在提升安全性的措施反而成为了阻碍。以下是一些具体的例子：

过渡复杂的密码策略

许多组织为了增强账户安全性，会实施复杂的密码策略，要求用户设置包含大小写字母、数字和特殊字符的长密码，并定期更换。然而，这种策略可能导致用户难以记住密码，从而采取不安全的做法，如将密码写在便签上或重复使用同一密码。

过度依赖终端安全软件

企业和个人用户为了防范恶意软件和病毒攻击，常常会在计算机上安装多个安全软件。然而，这些软件之间可能存在冲突，导致系统性能下降，甚至出现蓝屏、死机等问题。用户可能会因为系统性能问题而关闭或卸载安全软件，从而降低了整体的安全防护水平。为了限制用户本地行为，企业会进而部署终端安全软件，这将进一步影响用户体验和办公效率，从而导致对安全工作的排斥和抵触。

访问控制策略过严

为了防止未经授权的访问，一些组织会设置过于严格的防火墙规则和访问控制策略。这些策略可能会阻止合法用户的正常访问，导致工作效率下降。用户可能会绕过这些策略，使用不安全的方法访问系统资源，从而增加了安全风险。同时，严格的策略还可能导致管理成本上升，因为IT人员需要不断地调整和优化规则以满足业务需求。

加密技术的误用

加密技术是保护数据传输和存储安全的重要手段。然而，如果加密技术的使用不当，如选择强度不足的加密算法、密钥管理不善等，都可能导致数据泄露或被破解，还可能给用户带来额外的负担和成本。

安全补丁的频繁更新

软件漏洞是信息安全的重要威胁之一，某些组织可能由于工作的疏忽和迫切，未经评估而直接更新补丁，导致系统出现不兼容或者终止服务等操作风险。

原文地址：

Sometimes the cybersecurity tech industry is its own worst enemy | CSO Online

END

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）