蜂蜜锅和成熟模型如何确保政府IT系统安全

比尔·怀亚特(Bill Wyatt),CIO和CISO在佐治亚州,国务院财务主管办公室使用IT成熟模型来满足联邦合规要求并保持其积极的安全。

布莱恩·卡尔森(Brian Carlson)

布莱恩·卡尔森(Brian Carlson)2020年4月8日

运行IT部门的日常工作有时可能会消耗,通常使信息安全性比保持照明并交付业务价值要低。即使在设立安全计划的组织中,许多次管理员在系统被破坏之前都不知道安全缺陷。

根据国家财务主管办公室佐治亚州的比尔·怀亚特(Bill Wyatt),CIO和CISO的说法,对于组织而言,重要的是要积极主动地进行IT安全性,不仅是反应性的。他的组织使用成熟模型来实现这一目标 - 评估他们的准备并进行预防性改进。

怀亚特(Wyatt)的团队已经接受了美国国家标准技术研究所(NIST)800系列,以便满足《联邦信息安全管理法》(FISMA)的要求。

怀亚特说:“ NIST 800系列是我们确定安全控制的平台。”“首先要拥有一个框架,并知道成功的路线图是什么样的。”

根据怀亚特(Wyatt)的说法,NIST概述了达到FISMA合规性的9个步骤。

  • 对您需要保护的数据和信息进行分类

  • 为保护该信息所需的最低控制开发基线

  • 进行风险评估以完善基线控制

  • 在书面安全计划中记录您的基线控制

  • 向您的信息系统推出安全控制

  • 实施后,监视性能以衡量安全控制的功效

  • 根据您对安全控制的评估确定代理级别的风险

  • 授权信息系统处理

  • 不断监视您的安全控制

除了遵守标准的800系列步骤以建立和优化您的安全框架外,怀亚特还接受NIST特别出版物800-53,该出版物是为了增强政府信息系统的安全性,涵盖移动和云计算,内部威胁,应用程序,应用程序安全和供应链安全。

他说:“当您流过低,中等或高的800-53型号时,您的目标是继续加强企业内的控制措施。”

“一旦建立了足够的控制,就全部是关于改变的监控,并确保有更改管理机制。”

积极主动意味着有效监视

对于怀亚特(Wyatt),积极主动是监视网络和最终设备活动,因此管理员可以在发生安全事件(例如违规)之前意识到潜在的威胁。

“能够有效地监视您的技术生态系统,尤其是减轻所有误报,这是确保您所看到的是真正需要注意的东西的重要组成部分。我想拥有更高的信心,因为大多数爆发的事件都是真正需要回应的事情,”他说。

随着环境中的模型的行动,任何IT安全成熟度计划的功效随着时间的推移会随着时间的推移而提高。根据怀亚特的说法,这导致解决常见的低悬挂果活动,例如进行主动的安全扫描和指纹的正常行为外观。

“不幸的是,似乎需要数年的计划才能成熟,而不是您的员工无能力,而是主要是由于缺乏资源,优先事项和整体领导力承诺。”

同时,IT团队必须管理审核,升级,员工转换和用户请求。

“这是关于在这个成熟度的水平上积极主动,并努力教育并充分告知自己的领导才能使他们能够做出直接的决定。缺乏领导力参与和支持的环境可能会难以在建立更成熟的技术计划方面取得足够的成功。”

用蜂蜜罐捕捉蜜蜂

除了遵守NIST 800标准以确保对Fisma的遵守,以更加主动地在其安全立场上,Wyatt还通过使用蜂蜜罐来帮助ID和跟踪可疑活动,从而在其网络中发现不需要的活动。

他说:“我也喜欢Attivo解决方案,这是一个蜂蜜罐网络。”“我们在周围放了一堆假系统,它们都被配置为脆弱。从网络的角度来看,您无法分辨什么是真实的或什么是假的。然后,我们等待某人攻击它并控制系统。”

这是法医捕获发生的事情,并告诉怀亚特的团队是否有人试图进入系统。他说,这只是积极主动安全的众多层次之一。

他说:“在整个环境中,将各种蜜罐放置在可能不知道的恶意活动中,当威胁活动试图模拟共同行为时,其他威胁检测解决方案是无法从其他威胁检测解决方案中发现的。”“过去,您可能看不到任何潜伏在环境中的证据。您唯一知道的症状是用户提供的症状。而且,如果用户说些什么,那么您可能为时已晚,损害造成了。”

他说:“更糟糕的是,有些用户可能会出现数月的症状,从不说任何话。最终也可能是糟糕的一天。”

“我喜欢使用Attivo方法有一个环境,使您有机会获得这种意识。所有这些组件在该顶层有助于成熟。”

布莱恩·卡尔森(Brian Carlson)是一位贡献者。他是ROC Consulting的创始人,并且是CIO.com和EE Times的总编辑。在Twitter上关注他@bcarlsondm

©2020 Nutanix,Inc。保留所有权利。有关其他法律信息,请到这里

相关文章

Baidu