在防火墙设置中,implicit deny和explicit allow是两种核心的信息安全基础观念。但随着规模和复杂度的逐步扩大,我们发现我们需要允许的东西比我们要拒绝的东西要少得多得多。
这种对所有东西说“不”,除非我们知道它无害的规则在很多新的技术中都有应用,比如应用程序白名单、七层防火墙(WAF)、自适应认证等。我们的科技采用了新科技,但是我们在社交关系中却没有——随着攻击者越来越倾向于使用基于社交网络、社工技术,显然我们需要修改我们的行为方式,在处理与他人的社交关系时也需要采用白名单。
内部信任
就像我们有可信的内部网络和内部系统,我们同样应该找一些内部团队作为我们信息的可信来源。如果不能把他们当作可信来源,可以参考我们当今科技是如何解决这一问题的。我们并不会经常拒绝连接。对于那些可能有用但不一定能够信任的信息,我们会接入连接但放置在沙盒环境中。当与人们建立关系时,零信任模型很少有效。
也就是说我们应该假设我们的内部财务团队、IT团队和其他团队有宝贵的反馈,我们可以利用这些反馈来规避安全陷阱。因此对于内部信任的问题,我们应当不断检查,只有当对方失信时再不信任对方,在此之前我们需要放行。
OSI第八层——安全管理“规则之道”
OSI框架中的第八层应该是“管理”——你可以从第一层到第七层都解释一遍,但是如果你没有管理支持就什么都干不成。首先需要做的是发展与管理团队的关系。在着手解决安全问题之前首先与他们合作沟通,尝试理解需求。很多情况下及时沟通就能够避免出现严重问题。建立第八层“管理”框架能够保证你对项目拥有较好的控制。
基于行为的安全
安全虚无主义被大家接受得太快了。如果我们不能达到完美的安全,那为什么要做安全呢?安全控制很少有不出错的。我们不能盲目拒绝改进。我们应当做的是观察行为,然后加强积极的改进。如果大家知道什么是正确的,那一般来说他们就会做那些正确的事。如果他们提升组织的整体安全性,即使没有达到完美,我们还是应该鼓励这种行为。
信息安全技术在过去三十年内迅速发展,而现在我们现在需要将这些技术应用到我们的社交关系上。 我们需要更新与他人交流交往的方法。我们应该在我们的同事之前实行白名单制度,从而实现更好的安全。
* 参考来源:TripWire,vulture编译,文章有修改,转载请注明来自FreeBuf.COM0day
文章评论