安全团队应理解攻击面，更好地分配资金投入

在过去的几年里，攻击面一直都在不断地发生变化，我们要保护的东西已经不仅仅是基础设施应用了，而各位首席信息安全官（CISO）也应该好好思考一下，如何更好地去分配企业在信息安全方面投入的资金，并尽可能地防御网络攻击。

不断变化的安全风险

Misha Govshteyn是Alert Logic公司的联合创始人兼首席信息安全官，他认为，长久以来，当人们在设计安全防御策略时，一般只会考虑他们自己企业或周边基础设施终端的情况，但是这种保护基础设施的时代已经结束了，我们应该将注意力放在“外面的世界”。

数字安全研究专家Earl Perkins则表示，我们的企业目前正处于一种多形式的无线网络环境，我们会越来越频繁地去使用一些带有处理器和存储功能的小型设备，但是它们并不是传统意义上的IT通用平台。而这些设备正在成为我们企业中的一个安全薄弱环节，如果这些设备无法得到有效的保护，那么我们企业的资产将面临严重的安全威胁。

Govshteyn表示，想要跟上这些变化并不是那么简单的，因此我们才要深刻理解那些受到大型企业重视的攻击面，尤其是云端的那些安全威胁。对于一家成立了五年的公司来说，他们其实现在正处于构建自己基础设施的时候，他们的大部分产品都部署在云端，而且还会涉及到多种云端环境。现在很多企业或组织都可以直接购买SaaS应用了，所以他们对于防火墙的需求就会越来越低。除此之外，很多企业也不会再在防火墙后方部署传统形式的数据中心了。对于这种企业来说，他们的攻击面其实是非常分散的。有些攻击面则是办公室里坐在电脑屏幕前面的用户和员工，因为他们从SaaS环境购买了应用或服务。

某些组织还会在本地环境部署一些自定义产品，然后再围绕云环境构建安全基础设施，但是这两者所采用的安全策略是截然不同的。在这种IT环境下，他们在保护终端设备、客户端应用以及Web浏览器时所采用的安全技术与云端部署的安全技术是完全不同的。

有根据地分配资金的投入

现在行业内有一种非常有意思的趋势，即公司营销部门所得到的预算要比IT部门高得多，但是Govshteyn认为，他已经看到了IT部门预算超过其他部门的迹象了。因为很多企业已经开始将权利下放给各个部门了，他们可以自行决定是否需要将产品托管在云端或使用云服务器。那么这个时候第二个问题就来了，我们应该如何保护应用和服务的安全呢？

在分配资金之前，我们一定要对自己的攻击面有一个深入的理解，尤其是在财力资源匮乏的时候。Perkins说到：“一般来说，我们会通过评估风险优先级来决定将资金投入到网络安全的哪一方面，这也是一种非常有效的方法。”

我们要完全理解企业核心业务所面临的安全风险，然后通过将相应的安全技术部署到企业环境中来了解这些技术将会对安全风险造成怎样的影响，通过评估这些安全技术的有效性以及企业核心业务和资产的优先级来将正确的技术部署到正确的地方，这就是首席信息安全官确定资金分配方案的最佳方法。

当然了，这个过程也是非常复杂的。企业需要设立一个预算资金基线，这将涉及到风险管理的问题，而且还要频繁地评估企业风险的演化进程。在这个过程中，我们需要根据安全风险的变化情况来重新评估企业核心业务服务的安全优先级，并且还要确保自己所部属的安全技术能够很好地应对这些安全风险。

这不仅听起来非常复杂，而且实现起来也并不简单，因为我们在进行威胁检测时所使用的技术也许并不能有效地检测到针对企业资产的恶意攻击。那么此时我们如何才能确定核心业务的安全优先级呢？Rook Security公司的创始人兼首席执行官J.JThompson认为，我们应该结合企业资产和网络攻击这两个因素来考虑这个问题，我们要根据网络犯罪分子攻击的目标来判定安全优先级。很多首席信息安全官会将注意力只放在抵御网络攻击的身上，因为他们并不关心企业的哪一块业务遭受的攻击最为严重，因为他们只会根据CVE或CVSS的评分来决定风险的优先级，他们只对攻击进行分类和定级，却没有将受到攻击的企业资产考虑进去。

为了让大家更好地理解Thompson的意思，他还专门讲了一个例子，他说到：“假如我们检测到了美国上空飞来了一颗导弹，那么美国军方对这颗导弹落在波士顿（美国马萨诸塞州首府）和落在法戈（美国北达科他州东南部城市）时的应对策略肯定也是不一样的。很多企业都已经部署了相应的工具来检测安全威胁，这些安全工具虽然目前还可以正常工作，但是它们在信息串联方面没有做到位。当攻击发生时，我们要根据受攻击的目标来响应这些攻击，我们应该将网络攻击和受攻击的目标结合起来。”

安全可见度

ProtectWise公司的首席执行官Scott Chasin认为，每一位首席信息安全官目前所面临的最大挑战就是如何确定攻击面，而这种挑战逐渐转变成了“可见度”的问题，而很多企业几乎根本没注意到这方面的问题，他们可能会将五十甚至一百多种产品粘合在一起并部署到云端，此时这些应用和服务的安全性对于企业来说相当于是“不可见”的，因为他们完全不了解这些云计算服务的攻击面。

网络是不会撒谎的，如果企业能够记录应用服务所有的网络活动以及网络数据，那么这些日志记录就可以提升企业云端服务的“能见度”，此时我们就可以根据囤积下来的警告数据建立一个标准来判定哪些活动是正常的，而哪些活动是非法的，但是很多企业在数据收集方面做得仍有欠缺。

结束语

企业的首席信息安全官只有在深入了解了攻击面之后，才能更好地分配资金的投入。而对于他们来说，安全可见度已经成为了他们做决策时的关键因素。作为一名安全部门的高层管理者，我们必须了解自己公司所部属的业务及服务，然后时刻对它们进行监控和检测，然后及时响应不断变化的安全威胁。