美国军方在越南战争期间开发了作战安全(OPSEC)方法.1 军旅生涯为我提供了独特的机会和见识,我的任务跨越了情报界和多个战争领域. 军事服务的许多方面涉及私营和公共部门.
那么,到底什么是操作安全? 定义各不相同,但大多数都包括“对手”、“敌人”或“敌对势力”等术语.2019年CSO杂志的一篇文章将OPSEC定义为“组织评估和保护有关自己的公共数据的过程”, 如果被一个聪明的对手正确地分析并与其他数据分组, 揭示了应该隐藏的更大的图景."2 虽然这个定义肯定比一些政府的变体要温和, 我觉得还是太窄了.
值得注意的是,美国第一个军事OPSEC定义是在“紫龙行动”中提出的3 由美国参谋长联席会议授权. 据史料记载, OPSEC是“让我们的优势和劣势远离敌对势力的能力”."4 对我来说,这是定义OPSEC的一个更好的起点. 具有讽刺意味的是, 美国政府经常违反这一原则, 如美国国会, 通过委员会听证会和公开讨论美国弱点的报告,媒体和一些高级公职人员被推到了聚光灯下, 违反安全协议和其他披露, 哪些破坏了旨在保护国家的项目.
在我看来, 对运营安全更好的工作定义是“一种植根于风险管理的安全心态,通过这种心态,组织可以不断评估和保护可能被坏人利用的有关自己的数据。.我提出的定义将安全描述为“一种精神状态,它需要不断地进行迭代工作,以不断地评估周围环境,并做出最小化危害的决策。."5 以这种方式,安全性是风险管理的基础. 进一步, 显式地将间隔指定为连续的而不是周期的, 定期甚至是例行公事都说明了有意识地考虑每个业务活动的安全含义的重要性. 最后, 我故意避免使用“对手”这个词,“敌人”或“敌对势力”,“这在私营部门不太常见. 而不是, 我认为“不良行为者”是一个更合适的术语,因为它在信息安全专业人员的词汇中很常见,并且它解释了内部威胁.
对运营安全更好的工作定义是“一种植根于风险管理的安全心态,通过这种心态,组织可以不断评估和保护可能被坏人利用的有关自己的数据。.
将OPSEC扩展到私营部门并不是一个新颖的想法, 但这一概念尚未被成功采用. 我断言,许多澳门赌场官方下载仍然高度关注保护产品, 数据或服务忽略了业务操作和伴随而来的固有风险. 毫无疑问, 脱节的物理安全和信息安全程序会导致漏洞被充分利用. 例如, 我最近注意到,新员工在领英(LinkedIn)上发布了大量令人不安的帖子,他们在帖子中分享了自己工作场所标识牌的照片. 这些员工理所当然地对找到新工作感到兴奋,并且很可能忘记了他们看似无辜的行为所带来的风险. 但是安全教育在哪里呢?
随着网络安全技术的进步和安全准备的加强, 坏人倾向于回归本源,攻击软目标——通常是人. 令人难以置信的是,多因素身份验证(MFA)并没有在全球范围内得到普遍采用. 没有什么是铁板钉钉的, MFA成倍地增加了坏人做坏事的难度. 考虑到IT部门长期以来一直使用标准的电子邮件命名法(例如.g., 组织。com的首字母姓氏), 不良行为者已经拥有了标准身份验证等式的一半, 使MFA成为一个重要的实现. 有趣的是, Teleperformance的全球首席信息安全官(CISO)最近就谈到了这一点,6 注意到不良行为者开始使用过去的策略.g.(以恶意电话为媒介,攻击毫无戒心的雇员).
随着网络安全技术的进步和安全准备的加强, 坏人倾向于回归本源,攻击软目标——通常是人.
随着大批公共和私营部门重返实体办公空间, 物理安全漏洞的可能性增加了. 访问控制系统可能属于物理安全人员的权限范围, 但如果没有这个角色, 有可能责任默认为it. 如果物理安全缺乏适当的监督,后者是有问题的. 两个具有潜在信息安全后果的物理安全问题是“搭便车”和“尾随”. 两者通常都是指一个或更多的人跟随另一个被授权进入受限制或安全区域的人. 两者之间的区别归结为同意,因为随身携带推断出被授权的人故意允许别人使用他们的授权, 尾随是指未经被授权人许可,一人以上尾随被授权人的行为.7 虽然有些人认为,除非未经授权的访问发生在敏感的处理空间中,否则这些问题无关紧要.g., 服务器机房, 库), 现实情况是,这两种策略都使某种程度的防御无效(更不用说在调查的情况下消除相关数据的来源)。.
此外,澳门赌场官方下载数据安全策略是否适用于物理文档和介质? 这说明了信息安全和网络安全之间细微差别的重要性. 如果这种趋势继续下去,也许我们会看到“翻垃圾”的回归.
目前,供应链漏洞受到了广泛的关注, 通常在组件上下文中, 软件或服务, 但收购和交付是需要考虑的额外威胁. 理查德·“迪克”·马金科是著名的美国海豹突击队队员,在他的自传《澳门赌场官方软件》中,8 写了早期的红队. 在评估风险时需要非常规思维. 我读他的书已经很多年了, 但是,当把他的回忆录与现代红队(通常受到保守交战规则的约束)进行比较时,, 难怪坏人往往会成功.
我的第一个信息安全管理职位是在一艘美国海军航空母舰上, 在那里,我亲眼看到了员工是如何把一个组织置于危险之中的. 对于军队来说, OPSEC failures can result in mission failure or worse; military units have long had rules governing the disclosure of unit movement and methods to incrementally curtail nonessential communication based on various emergency scenarios. 但随着互联网接入和电子邮件成为军队生活的一部分, 他们在谁可以澳门赌场官方软件方面引入了挑战, 当. 你能想象高层管理人员传达的政策是在特定情况下说的吗, 仅限总监级及以上员工, 并选择其他关键人物, 允许使用他们的网络浏览器吗? For sailors, port visits offer an opportunity to unwind; some book hotel rooms. 问题就出在这里,因为员工的网络流量会反映出单位的变动. 换句话说, 技术控制(即网络过滤)与组织规则不一致,组织规则围绕着谁, 当, 港口访问可以公开. 使用从上述地理位置到单位网站的网络日志进行外部关联. 虽然这是位置数据的一个极端例子, 它强调了员工的行为是如何发送不必要的签名的. 每个澳门赌场官方下载都必须评估自己的风险.
说到网络数据,作为个人或澳门赌场官方下载,你是否付出了太多? 我记得最近在LinkedIn上看到一个帖子,讨论是否应该在该平台上讨论与工作无关的话题. 我注意到个人照片明显增多了, 自从第一次加入这个平台和, 虽然可能没有一个普遍正确的答案, 除了专业用途,我反对使用LinkedIn. 首先,它作为一个专业网络进行营销. 第二个, 个人详细信息为社会工程提供了有用的信息,尤其是在前面提到的恶意电话的复苏中.
结论
网络可能是一个商业推动者, 但它也已成为一种强大的武器, 关键基础设施遭受的攻击逐年增加,证明了这一点.9 总的来说,我们必须让不良行为者实现他们的目标付出更大的代价. 这是很困难的,因为数字环境会随着每一条写入的数据而变化. 安全问题不容易解决. 如果是这样的话,合并后的it和网络安全澳门赌场官方下载就不会人才短缺了. 网络安全是技术风险, 但是由于澳门赌场官方下载角色和责任缺乏共性,需要在整个组织中进行协作——特别是在缺乏正式澳门赌场官方下载风险管理的组织中. 通过这种方法, 谁负责网络安全并不重要, data, 资讯及实体保安, 而是它们相互沟通,以最大限度地减少盲点.
尾注
1 Rosencrance L.; "行动及保安"TechTarget
2 Fruhlinger J.; "什么是OPSEC? 操作安全如何保护关键信息", 社会杂志2019年5月8日
3 美国国家安全局, 紫龙:美国OPSEC计划的起源和发展1993年,美国
4 同前
5 ISACA®, 网络安全基础学习指南,3rd 版美国,2021年
6 杰夫·席林的零信任博士。”与“无人知晓的最大公司”的首席信息安全官聊天
,美国,2021年9月28日
7 牛顿安全创新, 常见问题解答
8 Marcinko R; 流氓的战士,口袋图书,美国,1993年
9 值得注意的是,对于什么是关键基础设施存在分歧. 在美国,关键基础设施概述在 第21号总统政策指示(PPD-21),其定义相当宽泛.
乔纳森·布兰德, CISM, CDPSE, CCISO, CISSP, CPI, CySA+, PMP
是否是ISACA知识与研究部的高级信息安全实践经理. 在这个角色中, 他通过提出与ISACA成员相关的想法和成果,贡献了思想领导力. 他担任信息安全项目的主题专家,并在需要外部资源时领导作者管理团队. 勃兰特是一名非常有成就的美国海军老兵,拥有超过25年的多学科安全经验, 网络操作和技术人员的发展. 在加入ISACA之前®在此之前,勃兰特曾担任全球关键基础设施项目的项目经理.