企业安全评估是一项困难而又重要的任务。无论在哪个行业,大多数公司都将其IT资源分配到维护、升级、支持和与公司战略保持一致。虽然改进安全性的必要性仍然被认为是一个重要的目标,但内部IT人员的实现往往是不够的。因此,通常采用安全即服务、审计、第三方渗透测试和漏洞评估等形式的外包作为解决方案
然而,微处理器巨头英特尔在其全公司的“战争演习”中实施了自己的威胁评估。这是英特尔自己的第四期(也是最新一期)的专题报道总理这杂志,高级信息安全分析师蒂姆·凯西和布莱恩·威廉姆斯提供了一个很好的概述这个项目。他们还创作了这关于英特尔战争游戏的白皮书,对其方法论进行了更深入的研究。
这些关于英特尔风险评估的文件读起来就像一个领先的安全供应商起草的可靠的全面的程序。英特尔的信息风险与安全集团已经对威胁评估有了深入的了解,并制定了有效的员工安全培训方法。他们采用了许多组织忽视的安全策略的一个关键组成部分:知道防御只是安全等式的一半,知道攻击是另一半。
“…日常工作职责通常局限于内部员工的防守心态。传统的安全防御文献倾向于谈论无定形的威胁、病毒、恶意代码和其他非个人的术语。但有生命的、有阴谋的人是终极威胁,企业需要了解他们的动机和技术,以防御他们。”
在对有价值资产进行初步评估后,他们会查看网络和物理漏洞的传统领域,并检查来自公司内部和外部的潜在攻击者。决定开始战争游戏,然后好戏就开始了。
类似于军队的使用,他们使用角色扮演的战争游戏攻击自己的公司。他们选择了一种创造性的、通常更现实的方法,而不是让一群安全专家将威胁付诸行动。
“传统的防御测试是由IT或安全人员构思和运行的,而战争演习则吸引了来自全公司的知识渊博的人,而不仅仅是安全专家。战争游戏将多个专家的注意力集中在一个特定的攻击目标上,以独特的、通常不可预见的方式利用多个漏洞。”
参与者组成的多元化团队通常由8至12名成员组成,并指派一名信息安全专家作为引导者进行指导。基于预定的重点领域和需要的支持,特定的战争游戏场景将由参与者开发和执行。这些情况从一般的威胁概念开始,如英特尔的建议:
- 一名心怀不满的员工试图窃取您的员工数据库(包括姓名和社会安全号码)以转售
- 有组织犯罪想要劫持你的货物
- 工业间谍经常使用你的员工经常使用的互联网café
- 竞争对手瞄准你的前沿工程设计
英特尔明智地建议至少使用两种方案,一种是“最有可能”,另一种是“最具破坏性”。传统的安全评估和审计有时会忽略这些关键情况。一旦确定了场景,攻击团队就开始工作,密谋攻击他们的同事和主管,并利用他们对公司运营的集体知识来实现他们的目标。
锻炼时间从6小时到3天不等,建议限制在一天半。我毫不怀疑英特尔所宣称的最终结果的价值。这个企业风险评估平台是识别独特威胁和揭示新的漏洞点的理想平台。对参与者来说幸运的是,他们不负责修复他们发现的漏洞(....与安全研究人员发现的漏洞的许多公司政策非常相似).
我强烈推荐阅读他们的白皮书,因为我刚刚谈到了这个精心设计的程序的几个方面。
对于那些懒得读它的人,我提供给你们一些有趣的亮点:在一场战争游戏中,目标是削弱一条制造生产线。当团队的大多数人都在专注于关闭负责的服务器时,其中一名团队成员,一名工厂工人,想出了一个简单的低技术含量的想法。他的解决方案成功了,完成了团队其他成员正在尝试做的事情,而没有攻击服务器的所有复杂性和成本——只是简单地禁用运输标签打印机。
本博客没有从英特尔获得任何资金,我也不是英特尔的偏袒支持者。事实上,我很期待得到AMD的Turion X2 Ultra处理器,在给英特尔打分之前,我在等着看它是否会“玩得好”,并“与其他班级分享”USB 3.0规范。
与大卫·莱特曼分享你最喜欢的战争游戏,网址:greyhat@computer.org