早年間，美國聯(lián)邦政府花費了巨大精力，在各部門(mén)不同網(wǎng)絡(luò )安全專(zhuān)家間達成共識，以確定現代計算機和網(wǎng)絡(luò )環(huán)境中有效的網(wǎng)絡(luò )安全控制，形成了20項最重要的持續網(wǎng)絡(luò )安全執法控制措施，即共同審計指南。與此同時(shí)，美國聯(lián)邦政府也鼓勵網(wǎng)絡(luò )安全專(zhuān)業(yè)人員對該指南進(jìn)行改編及思考。2009年，美國網(wǎng)絡(luò )安全公司MicroSolved發(fā)布了其80/20網(wǎng)絡(luò )安全法則，旨在為中小型組織提供最實(shí)惠的安全控制項目，只需花費通常組織20%的開(kāi)銷(xiāo)，就能獲得80%的安全效果。隨著(zhù)網(wǎng)絡(luò )安全態(tài)勢的快速變化，原有13條安全法則難以適應新的形勢發(fā)展。對此，MicroSolved更新了其80/20法則，該最新版本的法則包含：維護完整的當前網(wǎng)絡(luò )資產(chǎn)清單、實(shí)施全面的配置控制程序、實(shí)施全面的安全維護計劃、實(shí)施全面的變更控制程序、實(shí)施基本的內部威脅建模和風(fēng)險評估、持續安全評估、實(shí)施日志記錄和監視、實(shí)施網(wǎng)絡(luò )分段、執行和維護書(shū)面的網(wǎng)絡(luò )安全計劃、實(shí)施安全意識和培訓計劃、招聘、培訓和實(shí)施事件響應團隊、在網(wǎng)絡(luò )上盡可能使用MFA、部署合理的加密技術(shù)。

　　80/20法則又稱(chēng)帕累托法則、二八定律，由意大利經(jīng)濟學(xué)家維爾弗雷多·帕累托在19世紀末20世紀初發(fā)現的。他認為，在任何一組東西中，最重要的只占其中一小部分，約20%，其余80%盡管是多數，卻是次要的，因此又稱(chēng)二八定律，被廣泛應用于社會(huì )學(xué)及企業(yè)管理學(xué)等。該法則認為，原因和結果、投入和產(chǎn)出、努力和報酬之間存在著(zhù)無(wú)法解釋的不平衡，如80%的結論源自20%的起因、80%的產(chǎn)出源自20%的投入、80%的收獲源自20%的努力。該法則說(shuō)明少量的原因、投入和努力會(huì )有大量的收獲、產(chǎn)出或回報，只有幾件事情是重要的，大部分都微不足道。該法則的主要用途是去發(fā)現該80/20關(guān)系的關(guān)鍵原因，如20%的投入就有80%的產(chǎn)出，并在取得最佳業(yè)績(jì)的同時(shí)減少資源損耗。當將該法則應用于網(wǎng)絡(luò )安全領(lǐng)域時(shí)，又會(huì )有什么結果呢？

　　2009年，由于人們認為《聯(lián)邦網(wǎng)絡(luò )安全管理法》（FISMA）過(guò)于繁瑣，且無(wú)法有效保護私人信息的機密性、完整性和可用性，為此美國聯(lián)邦政府做出了巨大的努力，在來(lái)自各個(gè)部門(mén)的不同網(wǎng)絡(luò )安全專(zhuān)家組之間達成共識，以確定在現代計算和網(wǎng)絡(luò )環(huán)境中哪些網(wǎng)絡(luò )安全控制最有效。這項工作的成果是，發(fā)布了20個(gè)最重要的持續網(wǎng)絡(luò )安全執法控制措施：共識審計指南（Consensus Audit Guidelines）。同時(shí)，還激發(fā)了組織和網(wǎng)絡(luò )安全專(zhuān)業(yè)人員對本指南的可能變化和改編的思考，其中之一，就是由美國網(wǎng)絡(luò )安全公司MicroSolved發(fā)布的80/20網(wǎng)絡(luò )安全法則（2009）。

　　雖然該法則與共識審計指南非常相似，但該80/20法則的重點(diǎn)是建立一組安全控制項目，為沒(méi)有聯(lián)邦政府或其他大型組織資源的中小型組織提供最“實(shí)惠”的安全控制項目。該法則的靈感來(lái)自于帕累托原理，當應用于網(wǎng)絡(luò )安全控制時(shí)，意味著(zhù)一個(gè)組織可以?xún)H花費通常消耗的20%的資源，就可以實(shí)現80%的安全結果。

　　該2009版本的80/20法則包含以下13個(gè)安全項目：資產(chǎn)、數據流和信任關(guān)系映射；進(jìn)行基本的風(fēng)險評估和威脅建模；對所有網(wǎng)絡(luò )攻擊面的持續評估；最小化攻擊面；實(shí)施出口過(guò)濾；實(shí)施隔離計算；創(chuàng )建異常檢測功能；定義正式的策略和過(guò)程；進(jìn)行安全意識計劃；加強資產(chǎn)和新系統；招聘、培訓和實(shí)施事件響應團隊；識別安全技能差距并培訓員工；部署合理的密碼學(xué)。

　　然而自2009年以來(lái)，網(wǎng)絡(luò )安全形勢發(fā)生了變化，情況有所改變。因此，MicroSolved更新了其80/20法則，以更好地符合當前環(huán)境，盡管新版本中許多安全項目仍保持相同。MicroSolved 80/20網(wǎng)絡(luò )安全法則（2019）的安全項目列表如下：

　　與以前的80/20法則版本中的第一個(gè)項目幾乎相同。研究人員認為清單控制是20大建議中的第一控制措施。完整的清單不僅可以幫助避免遺留未維護的遺留系統的危險，更重要的是，它還可以實(shí)現其他重要的安全項目，例如安全維護、配置控制、訪(fǎng)問(wèn)控制等。

　　為了適當地增強網(wǎng)絡(luò )抵抗攻擊能力，必須安全地配置所有網(wǎng)絡(luò )資產(chǎn)（軟件/固件應用程序、操作系統和設備）。這應該根據通用的基線(xiàn)配置策略來(lái)完成。為了確保正確配置所有網(wǎng)絡(luò )資產(chǎn)，需要完整且最新的清單。

　　安全維護需要監視安全和供應商站點(diǎn)是否存在影響網(wǎng)絡(luò )資產(chǎn)的漏洞，然后確保必要時(shí)對其進(jìn)行修補、更新或替換。有必要將此過(guò)程與庫存控制聯(lián)系起來(lái)，以確保包括所有資產(chǎn)。

　　安全漏洞通常是由于對網(wǎng)絡(luò )安全設置未進(jìn)行維護或進(jìn)行考慮不周的更改而引起的。例如，將與內部網(wǎng)絡(luò )的直接連接授予第三方，以允許進(jìn)行必要的工作，但是在完成工作后不會(huì )將其刪除。攻擊者經(jīng)常使用這種攻擊載體來(lái)獲得專(zhuān)用網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限。變更應完全記錄在案，并應計劃還原到以前的狀態(tài)，以防出現無(wú)法預料的問(wèn)題。如前所述，變更控制過(guò)程應與庫存控制、配置控制和安全維護聯(lián)系相聯(lián)系。人員和流程之間的這種通信對于防止可能導致安全錯誤的混亂是必要的。

　　基本的威脅建模和風(fēng)險評估不必是一個(gè)復雜或耗時(shí)的過(guò)程。在對網(wǎng)絡(luò )進(jìn)行重大更改或添加時(shí)，只需考慮攻擊者可能會(huì )對這些更改（可能的漏洞）進(jìn)行不利操作（威脅）的方式，以及這種操作可能對業(yè)務(wù)造成的影響（風(fēng)險）。在具有代表性的技術(shù)、安全、法律和管理人員中使用此簡(jiǎn)單過(guò)程將提高風(fēng)險確定的準確性。

　　外部網(wǎng)絡(luò )和內部網(wǎng)絡(luò )的漏洞評估可以由內部或第三方服務(wù)提供商執行。建議使用這些評估，因為它們可能會(huì )暴露由于錯誤或惡意意圖而潛入網(wǎng)絡(luò )的漏洞。自定義編碼的軟件應用程序的安全性評估可能會(huì )使漏洞暴露于跨站點(diǎn)腳本之類(lèi)的情況。其他可能使組織受益的安全評估包括滲透測試和網(wǎng)絡(luò )工程測試，例如網(wǎng)絡(luò )釣魚(yú)測試。

　　實(shí)施此項目需要打開(kāi)網(wǎng)絡(luò )上所有支持該功能的系統的日志記錄。建議使用工具匯總日志和進(jìn)行基本日志分析。記錄和監視應連續進(jìn)行。應指派有能力的員工來(lái)監視、調查和增強自動(dòng)化和第三方安全監視結果。

　　實(shí)施此項目需要在邏輯上或物理上對網(wǎng)絡(luò )進(jìn)行分段。正確的網(wǎng)絡(luò )分段可以幫助阻止獲得非法內部訪(fǎng)問(wèn)權限的攻擊者在網(wǎng)絡(luò )上橫向移動(dòng)，并將其特權提升到域管理員級別。至少應將“用戶(hù)空間”與“服務(wù)器空間”分開(kāi)。

　　書(shū)面的網(wǎng)絡(luò )安全策略和程序對于任何有效的網(wǎng)絡(luò )安全計劃都是必需的。沒(méi)有他們，組織人員將永遠無(wú)法確保他們正確地協(xié)調自己的工作，而且只有在將它們無(wú)縫集成在一起的情況下，網(wǎng)絡(luò )安全計劃才真正有效。此外，書(shū)面安全和操作程序對于業(yè)務(wù)連續性/災難恢復至關(guān)重要。

　　僅擁有良好的書(shū)面政策和程序文件還不夠。組織人員還必須了解這些政策及其執行這些政策的責任。此外，組織人員可以是安全資產(chǎn)也可以是安全缺陷。培訓和意識是確保它們成為安全資產(chǎn)的關(guān)鍵。除安全培訓外，還應向人員提供安全提醒和更新。另外，應該為從事高風(fēng)險工作的人員（例如網(wǎng)絡(luò )管理，服務(wù)臺等）提供安全技能差距培訓。

　　實(shí)施此控制措施需要制定事件響應策略和方法，招募事件響應團隊，并練習執行任務(wù)所需的技能。沒(méi)有完美的安全。任何組織都可能遭受安全事件。事件響應程序可以極大地減少安全事件的負面影響，例如數據泄露對組織及其客戶(hù)的影響。

　　使用有效的多因素身份驗證（MFA）來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò )資產(chǎn)可以解決許多安全隱患。實(shí)施該項目確實(shí)需要花費大量的時(shí)間，因為用戶(hù)和客戶(hù)總是會(huì )認為獲得訪(fǎng)問(wèn)權會(huì )帶來(lái)額外麻煩。至少，應該對系統進(jìn)行高風(fēng)險訪(fǎng)問(wèn)使用MFA，例如管理、遠程或無(wú)線(xiàn)訪(fǎng)問(wèn)。

　　加密數據以進(jìn)行傳輸和存儲可最大程度地減少使用敏感或私有信息所固有的風(fēng)險。這個(gè)項目并不容易全面實(shí)施，但是如果正確完成，可以幫助挫敗那些成功訪(fǎng)問(wèn)私有系統的攻擊者。密碼學(xué)的警告是，隨著(zhù)項目的成熟，還必須實(shí)施安全密鑰管理。如果沒(méi)有正確的制作、注銷(xiāo)和保護這些密鑰，則加密實(shí)際上可能成為一種負擔而不是資產(chǎn)。

　　MicroSolved是一家專(zhuān)注于提供最有效、合理和全面的網(wǎng)絡(luò )安全產(chǎn)品和服務(wù)的小型公司。該公司總部位于美國，成立超過(guò)25年來(lái)，幫助客戶(hù)保護自己的數字資產(chǎn)并安全地開(kāi)展業(yè)務(wù)。該公司在保護知識產(chǎn)權、金融系統、零售環(huán)境和大小企業(yè)方面具有世界一流的經(jīng)驗。MicroSolved的企業(yè)經(jīng)驗從小型關(guān)鍵基礎設施組織到財富500強企業(yè)，其重點(diǎn)是制造業(yè)、工業(yè)控制、高科技、快餐銷(xiāo)售以及負責保護一些最重要研究的科學(xué)/智庫團隊。

　　消息來(lái)源：北京天地和興科技有限公司